뉴스로 돌아가기
속보

에터넘 봇넷, 폴리곤 블록체인으로 탄력적인 C&C 인프라 구축

3분 읽기출처: SecurityWeek

에터넘 봇넷이 폴리곤 블록체인 스마트 계약을 활용해 탈중앙화된 C&C 인프라를 구축하며 보안 위협을 증대시키고 있습니다. 대응 전략을 알아보세요.

에터넘 봇넷, 폴리곤 블록체인을 통한 C&C 인프라 강화

보안 연구원들은 **에터넘 봇넷 로더(Aeternum botnet loader)**가 폴리곤(Polygon) 블록체인 스마트 계약을 활용해 명령 및 제어(C&C, Command-and-Control) 인프라의 탄력성을 크게 높였다는 새로운 접근 방식을 발견했습니다. 이번 발전은 봇넷 운영의 중요한 진화를 의미하며, 탈중앙화 기술을 활용해 기존의 차단 노력을 회피하고 있습니다.

주요 내용

  • 봇넷 이름: 에터넘(Aeternum, 로더 변종)
  • 사용 블록체인: 폴리곤(이더리움 호환 레이어 2 솔루션)
  • 메커니즘: 스마트 계약을 통한 C&C 통신
  • 영향: 인프라 중단에 대한 저항력 증가

기술적 구현

에터넘 운영자들은 폴리곤 기반 스마트 계약을 통합해 C&C 통신을 용이하게 했습니다. 기존 봇넷이 중앙 집중식 서버나 도메인 생성 알고리즘(DGA, Domain Generation Algorithms)에 의존했던 것과 달리, 이 방식은 블록체인의 불변성과 분산 특성을 활용해 다음과 같은 이점을 제공합니다:

  • 단일 실패점 제거: 스마트 계약은 탈중앙화 네트워크에 배포되어, 기존 방식(예: 서버 압류 또는 DNS 싱크홀링)으로는 C&C 인프라를 해체하기 거의 불가능합니다.
  • 스텔스 강화: 통신은 블록체인 트랜잭션 내에 내장되어 합법적인 트래픽과 혼합되며, 탐지 노력을 복잡하게 만듭니다.
  • 지속성 보장: 노드가 손상되더라도 봇넷은 대체 계약 주소나 대체 메커니즘을 통해 동적으로 재구성될 수 있습니다.

정확한 스마트 계약 주소나 트랜잭션 해시는 공개되지 않았지만, 연구원들은 에터넘의 구현 방식이 트릭봇(TrickBot)의 이더리움 초기 실험이나 글룹테바(Glupteba)의 비트코인 C&C 활용과 유사한 기술을 사용한다고 지적했습니다.

영향 분석

폴리곤 블록체인을 C&C 운영에 도입함으로써 방어자들에게 여러 가지 도전 과제가 발생합니다:

  1. 차단 저항성: C&C 서버 압류나 도메인 취소와 같은 기존 봇넷 차단 전술은 탈중앙화 인프라에 효과가 없습니다. 법 집행 기관과 보안 팀은 이제 온체인 데이터의 영구성블록체인 네트워크의 관할권 복잡성에 대응해야 합니다.

  2. 탐지 회피: 블록체인 트랜잭션은 암호화되고 분산되어 있어, 악성 C&C 트래픽을 합법적인 폴리곤 네트워크 활동과 구분하기 어렵습니다. 시그니처 기반 탐지 도구는 고급 행동 분석 없이는 봇넷 통신을 식별하기 어려울 수 있습니다.

  3. 확장성: 폴리곤 레이어 2 네트워크의 저비용과 높은 처리량은 에터넘이 운영 오버헤드 증가 없이 빠르게 봇넷 규모를 확장할 수 있게 합니다.

  4. 귀속 어려움: 블록체인의 익명성으로 인해 봇넷 운영자를 추적하기 어려우며, 트랜잭션은 믹서(Mixer)나 프라이버시 지향 지갑을 통해 난독화될 수 있습니다.

보안 팀을 위한 권고 사항

블록체인 기반 봇넷인 에터넘과 같은 위협에 대응하기 위해 조직은 다음과 같은 조치를 취해야 합니다:

  • 블록체인 활동 모니터링: 폴리곤 및 이더리움 트랜잭션에서 C&C 통신을 암시하는 이상 패턴을 분석할 수 있는 도구를 배포합니다. **체인얼리시스(Chainalysis)**나 TRM Labs와 같은 솔루션이 의심스러운 온체인 활동을 추적하는 데 도움이 될 수 있습니다.

  • 엔드포인트 탐지 강화: 봇넷 감염을 식별하기 위해 행동 기반 탐지를 우선시하며, 다음과 같은 지표에 중점을 둡니다:

    • 블록체인 RPC 엔드포인트로의 비정상적인 아웃바운드 연결.
    • 암호화폐 지갑이나 스마트 계약과 상호작용하려는 프로세스.

  • 네트워크 세분화 구현: 블록체인 네트워크와 상호작용할 수 있는 엔드포인트로부터 중요 시스템을 격리하여 봇넷 악성코드의 횡적 이동 가능성을 줄입니다.

  • 블록체인 포렌식 전문가와 협력: 블록체인 포렌식을 전문으로 하는 업체와 협력해 봇넷 관련 트랜잭션을 추적하고 차단하며, 특히 법 집행 기관과의 협력을 강화합니다.

  • 신흥 위협 정보 유지: CISA, MITRE, 보안 업체의 권고 사항을 추적하여 블록체인 기반 악성코드의 전술, 기법, 절차(TTPs)에 대한 최신 정보를 얻습니다.

결론

에터넘이 폴리곤 블록체인 스마트 계약을 C&C 운영에 활용한 것은 봇넷 인프라의 고도화된 진화를 보여줍니다. 위협 행위자들이 탈중앙화 기술을 계속 악용함에 따라, 보안 팀은 블록체인 인식 탐지탈중앙화 위협 인텔리전스를 방어 전략에 통합해야 합니다. 에터넘의 스마트 계약 로직에 대한 추가 연구는 대응책을 마련할 기회를 제공할 수 있지만, 현재로서는 이 봇넷이 전통적인 사이버 보안 방어에 큰 도전 과제로 남아 있습니다.

공유

TwitterLinkedIn