작년 말 인터넷 성능 관리 Dyn은 Mirai 봇넷 컴퓨터 네트워크에 의해 발생한 대규모 DDoS 공격으로 어려움을 겪었습니다. 이후 Mirai는 보안 커뮤니티에서 악명 높은 이름이되었습니다. 봇넷은 또한 New York Times, Twitter 및 Spotify를 포함한 대규모 사이트를 혼란 시켰습니다.

Mirai는 인터넷을 통해 IP 주소를 검색하고 보안되지 않은 IoT 장치를 감염시켜 DDoS 공격을 수행합니다. Mirai는 로그인 자격 증명을 추측하고 장치에 이미 존재하는 맬웨어를 제거하고 교체하도록 설계되었습니다. 특히 Mirai는 IP 카메라, 라우터 및 DVR을 대상으로합니다.

Incapsula의 연구 개발 노력 덕분에 이제 시스템에서 봇넷 감염을 탐지 할 수있는 도구가 생겼습니다. 적절하게 Mirai Vulnerability Scanner라고하는이 도구는 네트워크의 하나 이상의 장치에 대한 봇넷 주입 공격을 검사합니다.

작동 원리

Incapsula는 공구 작동 방식을 설명합니다.

"지금 네트워크 스캔"을 클릭하면 스캐너가 공용 IP 주소를 발견합니다. 이것은 일반적으로 ISP가 인터넷 게이트웨이 장치 또는 케이블 모뎀에 할당 한 IP 주소입니다. 이 장치는 종종 네트워크의 다른 장치를 인터넷에 연결하는 라우터 및 Wi-Fi 액세스 지점으로 작동합니다. Mirai 스캐너는 네트워크 외부에서 게이트웨이를 검사하여 Mirai의 공격에 취약한 원격 액세스 포트가 있는지 확인합니다. Mirai 스캐너는 공개 IP 주소 만 검색 할 수 있습니다.

Mirai Vulnerability Scanner가 네트워크에서 취약한 장치를 찾으면 다음 작업을 수행하십시오.

1. 네트워크의 각 IoT 장치에 로그인하고 암호를 강력한 암호로 변경하십시오.
2. 네트워크를 다시 스캔하여 취약점이 해결되었는지 확인하십시오.

Mirai 스캐너에는 다음을 포함하여 몇 가지 예외가 있습니다.

• 게이트웨이 / 라우터에 NAT (네트워크 주소 변환)가 활성화 된 경우 Mirai 스캐너는 포트 22/23에 대해 포트 전달이 활성화 된 IP 주소로 구성된 장치 만 검색합니다.
• Mirai 스캐너는 네트워크에서 Mirai Scanner 웹 사이트에 액세스하는 데 사용하는 컴퓨터와 다른 전용 IP 주소를 가진 장치를 검색하지 않습니다.

Mirai 스캐너의 베타 버전은 Incapsula에서 구할 수 있습니다.