수천 대의 감염된 라우터로 구성된 봇넷을 완전히 제거하기는 어렵지만, 효과적인 방어 방법이 존재합니다

새로운 지속형 봇넷 KadNap이 발견되었습니다

*Black Lotus Labs (Lumen)의 연구원들은 제거 시도에도 불구하고 계속 운영되는 악성 네트워크를 확인했습니다.*

발견 내용
- KadNap 봇넷은 약 14,000개의 라우터와 기타 네트워크 장치를 감염시켰으며 대부분 Asus 제조업체 제품이었습니다.

- 바이러스는 장비 소유자가 패치하지 않은 취약점을 통해 퍼집니다.
대부분의 감염 장치는 Asus 모델이며, 공격자들은 이 라인에 대한 안정적인 익스플로잇을 찾았습니다.

위험 평가
- 연구원들은 아직 알려지지 않은 제로데이(Zero-Day) 취약점 사용 가능성이 낮다고 판단합니다.

- 작년 8월에는 이미 10,000대의 장치가 감염되었으며 대부분 미국에 있었습니다. 대만, 홍콩 및 러시아에서도 수백 건이 발견되었습니다.

작동 기술
KadNap은 Kademlia 피어링 아키텍처를 사용합니다 – 분산 해시 테이블로 관리 서버의 IP 주소를 숨깁니다. 이는 봇넷을 탐지하기 어렵고 전통적인 제거 방법에 거의 무방비 상태로 만듭니다.

> “이 봇넷은 익명 프록시 대신 탈중앙화 피어링 네트워크를 사용한다는 점에서 돋보입니다.” – Black Lotus의 Chris Formos와 Steve Radd가 Lumen 블로그에서 언급했습니다.
> “공격자들의 목표는 탐지를 회피하고 정보 보안 전문가들의 작업을 복잡하게 만드는 것입니다.”

대응 방법
- 일반적인 차단 방식에 강인함에도 불구하고 Black Lotus는 봇넷 관리 인프라와 다른 노드 간의 전체 네트워크 트래픽을 끊는 방법을 개발했습니다.

- 팀은 침해 지표를 공개 소스에 게시하여 다른 조직이 KadNap 접근을 신속히 차단할 수 있도록 합니다.

따라서 KadNap은 Asus 취약점과 피어링 네트워크를 활용해 관리 체계를 숨기는 복잡하고 탈중앙화된 봇넷입니다. 그러나 Lumen 전문가들은 이미 확산을 중지시키는 방법을 찾았으며, 추가 감염 방지를 위한 도구를 제공하고 있습니다