[보안이슈] 사설 마인크래프트 서버를 타겟으로 DDoS 공격 수행하는 맥크래시(MCCrash)

사설 마인크래프트 서버를 타겟으로 DDoS 공격을 수행하는 크로스 플랫폼 멀웨어 발견. 맥크래시(MCCrash)라는 이름을 붙임.

해킹포럼/다크넷에서 판매되는 서비스로 제작된 패킷을 사용하여, 사설 마인크래프트 서버를 타겟으로 하도록 만들어짐. 특히나 자바 서버.

 

일부 게이머들의 문제라고 생각할 수 있음. 그러나 ...

해당 봇넷은 윈도우, 리눅스, IoT 등을 감염시킨 후에 마인크래프트 서버를 공격하는 것임.

즉,  윈도우 및 리눅스 장비의 탐지 기술을 우회하여 감염시킬 수 있음

게다가, 감염 시 SSH 크리덴셜의 무작위 대입을 통해 네트워크 내 다른 시스템으로 자체 확산됨.

 

MCCrash 공격 체인

[과정]

1. 피해자가 Windows 라이센스 다운로드 ( KMS 툴)

2. 툴에는 'svchost.exe'를 다운로드하는 악성 Powershell 코드가 포함됨. 해당 코드는 봇넷 페이로드인 'malicious.py' 실행

3. MCCrash 감염 후 인터넷에 노출된, SSH가 활성화 된 장비들에 디폴트 크리덴셜을 무작위 대입

- 네트워크 내 타 시스템으로까지 확장

4. 'Software\Microsoft\Windows\CurrentVersion\Run'에 레지스트리 값을 추가하여 지속성 확보

5. C2가 MCCrash로 전송하는 명령을 보면, 마인크래프트 서버에 대한 DDoS 공격에 특화된 명령이 많음.

 

[권고]

- 디폴트 크리덴셜 제거

- SSH가 인터넷에 노출되지 않도록 IoT 장비 관리

 

 

참고 기사 링크 1(보안뉴스)

참고 기사 링크 2(BleepingComputer)