사설 마인크래프트 서버를 타겟으로 DDoS 공격을 수행하는 크로스 플랫폼 멀웨어 발견. 맥크래시(MCCrash)라는 이름을 붙임.
해킹포럼/다크넷에서 판매되는 서비스로 제작된 패킷을 사용하여, 사설 마인크래프트 서버를 타겟으로 하도록 만들어짐. 특히나 자바 서버.
일부 게이머들의 문제라고 생각할 수 있음. 그러나 ...
해당 봇넷은 윈도우, 리눅스, IoT 등을 감염시킨 후에 마인크래프트 서버를 공격하는 것임.
즉, 윈도우 및 리눅스 장비의 탐지 기술을 우회하여 감염시킬 수 있음
게다가, 감염 시 SSH 크리덴셜의 무작위 대입을 통해 네트워크 내 다른 시스템으로 자체 확산됨.
[과정]
1. 피해자가 Windows 라이센스 다운로드 ( KMS 툴)
2. 툴에는 'svchost.exe'를 다운로드하는 악성 Powershell 코드가 포함됨. 해당 코드는 봇넷 페이로드인 'malicious.py' 실행
3. MCCrash 감염 후 인터넷에 노출된, SSH가 활성화 된 장비들에 디폴트 크리덴셜을 무작위 대입
- 네트워크 내 타 시스템으로까지 확장
4. 'Software\Microsoft\Windows\CurrentVersion\Run'에 레지스트리 값을 추가하여 지속성 확보
5. C2가 MCCrash로 전송하는 명령을 보면, 마인크래프트 서버에 대한 DDoS 공격에 특화된 명령이 많음.
[권고]
- 디폴트 크리덴셜 제거
- SSH가 인터넷에 노출되지 않도록 IoT 장비 관리
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] Ghost CMS 뉴스레터 구독 시스템에서 인증 우회 취약점 발견 (0) | 2022.12.23 |
|---|---|
| [보안이슈] 멀웨어가 보안 검사를 우회하도록 하는 macOS 버그 발견. (0) | 2022.12.21 |
| [보안이슈] 인터넷에 노출된 대학교 CCTV, 아직도 방치 中 (0) | 2022.12.19 |
| [보안이슈] 암호화폐 거래소 Gemini에서 570만 고객 개인정보 유출 (0) | 2022.12.16 |
| [보안이슈] CISA, KEV 카탈로그에 Veeam 백업 제품 취약점 추가 (0) | 2022.12.15 |