악성코드 확산을 위해 SPF 오설정을 악용하는 MikroTik 봇넷

블로그

MikroTik 봇넷은 취약한 SPF 구성을 악용하여 20,000개의 도메인을 스푸핑하여 광범위한 악성 스팸 캠페인을 시작했습니다.

by 유네스타라다

읽기 시간: 4
악성코드 확산을 위해 SPF 오설정을 악용하는 MikroTik 봇넷
목차-

최근 사이버 보안 뉴스 인포블록스 위협 인텔 은 13,000개의 MikroTik 디바이스를 손상시키는 봇넷을 발견했습니다! 이 봇넷은 이메일 방어를 우회하기 위해 SPF DNS 레코드 구성의 취약점을 악용했습니다. 이 봇넷은 취약점을 악용한 후 약 20,000개의 웹 도메인을 스푸핑하여 멀웨어를 확산시켰습니다.

주요 내용

  • 봇넷이 악성 스팸 캠페인을 시작하기 위해 수천 대의 마이크로틱 디바이스를 손상시켰습니다. 
  • 이 익스플로잇은 허용적인 SPF 구성으로 인해 익스플로잇이 발생했습니다.
  • 그 결과 멀웨어가 포함된 첨부파일이 포함된 스푸핑 공격이 광범위하게 발생했습니다.
  • 여기서 얻은 주요 교훈은 허용되는 SPF 구성을 피하고, DNS 레코드를 정기적으로 확인하며, 매크로와 함께 호스팅된 SPF 서비스를 사용하는 것입니다. 

봇넷이 지속적인 위협인 이유

봇넷은 위협 행위자가 원격으로 조작하고 제어하는 손상된 디바이스의 네트워크입니다. 봇넷은 오랫동안 사이버 보안에 대한 지속적인 위협이었습니다. 봇넷은 광범위하게 분산되어 있어 대규모 악성 활동을 확산시키는 쉬운 매개체가 됩니다. 

봇넷은 과거에 다음과 같은 문제를 일으켰습니다:

 

  • 분산 서비스 거부공격(DDoS 공격)는 공격 대상의 네트워크를 압도하고 서비스를 중단시키거나 방어자의 주의를 분산시키기 위한 공격입니다.
  • 스팸 및 피싱 캠페인 중요한 정보를 훔치거나 멀웨어를 퍼뜨리기 위해 받은 편지함을 악성 이메일로 가득 채웁니다.
  • 자격 증명 스터핑 를 사용하여 도난당한 자격 증명으로 로그인 시도를 자동화할 수 있습니다.
  • 데이터 도용 영리 또는 추가 공격을 위해 개인 또는 기업 데이터를 추출하는 행위입니다.
  • 크립토재킹 디바이스 리소스를 탈취하여 암호화폐를 채굴하는 것입니다.
  • 프록시 네트워크 및 클릭 사기공격자의 위치를 숨기고 광고주를 속이는 행위입니다.

인포블록스가 최근 발견한 멀웨어 스팸 캠페인에서 봇넷은 13,000개 이상의 손상된 MikroTik 라우터를 활용했습니다. 이는 사이버 보안 업계의 우려가 커지고 있습니다. 

멀웨어 캠페인의 해부학

화물 송장 스팸

2024년 11월 말, 인보이스 스팸 캠페인의 시작은 인포블록스가 인보이스 스팸 캠페인을 발견하면서 시작되었습니다. DHL 배송 송장을 사칭한 스팸 이메일이 악성 JavaScript 페이로드가 포함된 ZIP 파일과 함께 전송되었습니다. 이 ZIP 첨부 파일 과 같은 일관된 명명 규칙을 가지고 있었습니다:

  • 송장(2~3자리 숫자).zip
  • 추적(2~3자리 숫자).zip

페이로드 분석

자바스크립트 파일로 알려진 ZIP 파일은 파워쉘 스크립트를 실행했습니다. 이 스크립트는 의심스러운 IP 주소에서 호스팅되는 멀웨어 명령 및 제어(C2) 서버에 연결되었습니다. 이 IP 주소는 이전에 웹에서 악의적인 활동을 한 이력이 있었습니다. 따라서 봇넷은 일련의 트로이 목마 멀웨어 배포를 시작하는 네트워크를 생성했습니다. 

MikroTik 라우터는 어떻게 감염되었나요? 

인포블록스의 조사에 따르면 13,000대 이상의 MikroTik 라우터가 봇넷에 의해 탈취당했습니다. 이 라우터들은 SOCKS 프록시로 구성되었습니다. 이로 인해 라우터의 출처가 가려져 식별할 수 없게 되었습니다. 

마이크로틱 라우터는 내재된 치명적인 취약점으로 인해 봇넷의 쉬운 표적이 되었습니다: 

  • 라우터에는 인증된 액세스를 통해 쉽게 악용할 수 있는 원격 코드 실행 결함이 있습니다.
  • SOCK 프록시를 배포하면 위협 행위자가 자신의 원래 신원을 숨길 수 있습니다. 
  • 일부 디바이스에는 빈 비밀번호가 포함된 기본 '관리자' 계정이 제공되었습니다.

악성 스팸 캠페인을 활성화하는 데 있어 SPF 설정 오류의 역할

수신 메일 서버는 DNS TXT 레코드를 통해 이메일 발신자의 적법성을 인증합니다. SPF 또는 발신자 정책 프레임워크 레코드가 그러한 예 중 하나입니다. 그러나 수천 개의 발신 도메인에 허용되는 SPF 레코드는 공격자가 인증 검사를 우회하는 데 필요한 허점을 제공했습니다. 

잘못 구성된 SPF 레코드 예시

허용되지 않는 SPF 레코드의 예는 다음과 같습니다:

v=spf1 include:example.domain.com -all

위의 예에서는 지정된 서버만 도메인을 대신하여 이메일을 보낼 수 있도록 허용합니다. 명시적으로 권한이 부여되지 않은 도메인은 SPF에 실패합니다. 

허용되는 SPF 레코드의 예는 다음과 같습니다: 

v=spf1 include:example.domain.com +all

위의 예에서는 모든 서버가 도메인을 대신하여 이메일을 전송할 수 있으므로 스푸핑 및 사칭이 가능합니다. 인플로블록스는 악성 캠페인을 실행하기 위해 이와 같이 허용된 SPF 구성이 사용되는 것을 확인했습니다. 

익스플로잇 방지를 위한 SPF 구성 확인

다음 방법 중 하나를 사용하여 도메인의 SPF 구성을 확인할 수 있습니다: 

수동 조회 

도메인 소유자는 NSlookup 또는 Dig 명령을 사용하여 SPF 레코드를 조회할 수 있습니다: 

  • Linux/MacOS에서: dig +short txt example.com | grep spf
  • Windows의 경우 nslookup -type=txt example.com | Select-String -Pattern "spf"

자동 조회 

SPF DNS 구성을 확인하는 더 간단한 방법은 PowerDMARC의 SPF 검사기 도구.

  • 도구 상자에 도메인 이름을 입력합니다(예: domain.com).
  • '조회' 버튼 누르기 
  • 결과 검토 

정말 간단합니다! 이 방법은 파워쉘 스크립트나 명령을 실행하지 않고도 번거롭지 않고 즉각적으로 SPF를 확인할 수 있으며 기술 지식이 필요하지 않습니다. 

미주: 교훈 

DNS 취약점을 악 용하여 정교한 스푸핑 공격을 시작하는 봇넷의 능력은 이메일 보안 모범 사례를 따라야 할 필요성을 강조합니다: 

  • 도메인 소유자는 정기적으로 DNS 레코드를 감사하여 적절한 SPF, DKIM 및 DMARC 구성을 확인해야 합니다.
  • 도메인 소유자는 지나치게 허용적인 SPF 또는 DMARC 정책 을 장기간 사용하지 않아야 합니다.
  • 디바이스에서 기본 관리자 계정을 제거하거나 보안을 유지합니다.
  • 사용 DMARC 보고 을 활성화하여 이메일 트래픽을 모니터링하고 무단 액세스를 감지하세요.
  • 가장 중요한 것은 Hosted SPF와 같은 SPF 매크로 최적화 서비스 와 같은 매크로 최적화 서비스를 사용하여 SPF 오류 및 취약점을 수정하고 SPF DNS 조회 제한을 쉽게 준수하세요.

마이크로틱 봇넷 익스플로잇의 발견은 정교한 사이버 공격에 대한 우려가 커지고 있다는 증거입니다. 기업은 보안을 유지하기 위해 보안 스택을 업데이트하여 최신 AI 기반 사이버 보안 기술을 위한 기반을 마련해야 합니다. 이를 통해 기업은 위협 환경을 원활하게 탐색하면서 피해를 입지 않을 수 있습니다.

CTA

Yunes Tarada의 최신 글 (전체 보기)
최고의 AutoSPF 대안: 자세한 기능 비교야후 재팬야후 재팬, 2025년 사용자를 위한 DMARC 도입 권장