신규 DDoS 캠페인, 구성 오류가 있는 Jupyter 노트북을 악용합니다.

최근에 발생한 분산 서비스 거부(DDoS) 캠페인인 “Panamorfi”는 사이버 보안 커뮤니티에서 큰 파장을 일으켰습니다. 이 캠페인은 전통적인 DDoS 공격과 달리 특히 온라인에 노출된 설정이 잘못된 Jupyter 노트북을 대상으로 합니다. 이 캠페인 뒤에 있는 위협 요소인 yawixooo는 대상 서버를 압도하기 위해 공개적으로 이용 가능한 Minecraft 서버 DDoS 도구를 활용합니다.

공격 구조

Aqua Nautilus의 연구원들에 따르면, 공격은 위협 요소가 인터넷에 노출된 노트북에 초기 액세스를 얻은 후에 시작됩니다. 그들은 파일 공유 플랫폼에서 zip 파일을 다운로드하는 명령을 실행합니다. 약 17MB 크기의 zip 파일은 임의의 문자열로 명명된 conn.jar 및 mineping.jar라는 두 개의 Jar 파일을 포함하고 있습니다. 이들 Jar 파일은 이전에 보안 회사들에게 알려지지 않았으며, 각각에 대해 하나의 감지만 있었습니다.

‘conn.jar’ 파일은 공격에서 중요한 역할을 합니다. 이 파일은 Discord를 이용하여 DDoS 작업을 제어합니다. 피해자의 기계가 특정 Discord 채널에 연결되어 ‘mineping.jar’ 파일을 로드합니다. 이 파일은 GitHub에서 이용 가능한 잘 알려진 Minecraft 서버 DDoS 도구이며, 다양한 기능을 위한 여러 Java 파일을 포함하고 있습니다.

공격 실행

Minecraft 서버 DDoS 도구가 배포되면, 위협 요소는 TCP 플러드 DDoS 공격을 시작합니다. 주요 목표는 대상 서버의 자원을 고갈시키는 것입니다. 공격자들은 도구를 설정하여 공격 결과를 실시간으로 Discord 채널에 직접 기록하도록 하여, 공격의 영향을 모니터링할 수 있습니다.

위협 완화

다행히도, Aqua Nautilus의 연구원들은 conn.jar 파일의 실행을 차단하는 런타임 정책을 적용하여 공격을 중단시키는 데 성공했습니다. 이러한 예방 조치를 취함으로써, 전체 캠페인을 효과적으로 중화시킬 수 있었습니다.

비슷한 캠페인에 대비하기 위해 다음과 같은 완화 전략을 따르는 것이 중요합니다:

– Jupyter 노트북의 액세스 제한을 위해 안전한 관행을 실행합니다.
– conn.jar 및 mineping.jar와 관련된 파일의 실행을 차단합니다.
– Jupyter 노트북에서 코드 실행을 제한합니다.
– 최신 보안 패치로 정기적으로 Jupyter 노트북을 업데이트합니다.

또한 Jupyter 노트북에서는 민감한 정보나 자격 증명을 공유하지 않는 것이 좋습니다. 이러한 정보는 위협 요소들에게 유혹할 수 있기 때문입니다.

호의 롭고 불리한 점:

Jupyter 노트북의 장점은 상호 작용적인 성격, 코드, 시각화 및 설명을 결합할 수 있는 능력, 다양한 프로그래밍 언어 지원 등이 있습니다. 이러한 노트북은 협업과 데이터 분석 작업흐름을 공유하는 데 도움을 줍니다.

그러나 주요 단점은 잘못된 설정이나 노출된 Jupyter 노트북과 관련된 잠재적인 보안 위험입니다. 올바르게 보호되지 않으면 공격자들에게 쉬운 대상이 될 수 있으며, 데이터 유출, 무단 액세스, 그리고 이 경우와 같이 DDoS 공격에 악용될 수 있습니다.

The source of the article is from the blog lanoticiadigital.com.ar