[팔로 알토 네트웍스] 사이버보안 기초 #4

[4주차] 공격의 유형과 기법

학습목표

1. 사이버 공격 기술 및 유형 평가
2. 취약점과 익스플로잇의 차이 학습
3. 스팸 및 피싱 공격 식별
4. 봇과 봇넷이 기업 네트워크를 공격하는 데 어떻게 사용되는지 학습

[4-1] 악성코드

공격자는 목적을 달성하기 위해 다양한 기술과 공격 유형을 사용한다. 멀웨어와 익스플로잇은 현대 사이버 공격 전략에 필수적이다. 스팸 및 피싱은 일반적으로 이메일 실행 파일 또는 악의적인 웹 사이트에 대한 웹 링크를 통해 멀웨어와 익스플로잇을 엔드포인트로 전달하기 위해 사용되는 기술이다. 엔드포인트가 손상된 후, 공격자는 일반적으로 백도어, 원격 액세스 트로이 목마 및 기타 멀웨어를 설치하여 지속성을 보장한다. 공격자의 제어 하에 손상된 엔드포인트(봇)는 봇넷의 일부로 다른 조직이나 네트워크에 대해 훨씬 더 큰 규모의 공격을 수행하는 데 자주 사용된다.

 

멀웨어

멀웨어는 일반적으로 감염된 엔드포인트를 제어하거나, 정보를 수집하거나, 손상시키는 악성 소프트웨어 또는 코드다. 멀웨어는 광범위한 개념으로, 멀웨어에는 다양한 것이 포함된다. 바이러스, 웜, 트로이 목마, 랜섬웨어, 안티 AV, 논리폭탄, 백도어, 루트킷, 부트킷, 스파이웨어, 애드웨어 같은 것들이 이에 해당한다.

 

불행하게도, 멀웨어의 초기 등장 이후, 35년 이상이 지난 지금, 현대 멀웨어는 계속 진화해 왔고, 훨씬 더 사악한 목적으로 사용되고 있다. 현대 멀웨어의 예시로는 워너크라이, 헨박스, TeleRAT, 라로그 등이 있다.

 

최신 멀웨어는 일반적으로 은밀하고 회피적이며, 이제 표적에 대한 조정된 공격에서 중심적인 역할을 수행한다. 고급 멀웨어는 네트워크를 활용하여 성능과 복원력을 확보하고, 다른 소프트웨어 애플리케이션과 마찬가지로 업데이트할 수 있으므로, 공격자가 경로를 변경하고 네트워크를 더 깊이 파고들거나 변경 및 대책을 수립할 수 있다. 이는 단순히 자신을 감염시키고 복제하는, 일반적으로 독립적인 에이전트였던 이전 유형의 멀웨어에 비해 아주 근본적인 변화라 할 수 있다. 고급 멀웨어는 점점 더 실질적인 의미에서 중앙에서 조정되고 네트워크로 연결된 애플리케이션이 된 것이다. 인터넷이 개인용 컴퓨팅에서 가능했던 것을 바꾼 것과 거의 동일하게 유비쿼터스 네트워크 액세스는 멀웨어의 세계에서 가능한 것을 바꾸고 있다. 이제 동일한 유형의 모든 멀웨어가 공동 목표를 향해 협력할 수 있으며, 감염된 각 엔드포인트는 공격 발판을 넓히고 조직에 잠재적인 피해를 증가시킨다.

 

고급 멀웨어의 중요한 특성과 기능은 다음과 같다.
① 분산된, 내결함성 아키텍처(Distributed, fault-tolerant architecture)

고급 멀웨어는 인터넷 자체에 내장된 복원력을 최대한 활용한다. 고급 멀웨어는 여러 폴백 옵션으로 여러 개의 제어 서버를 전 세계에 분산시킬 수 있으며, 감염된 다른 엔드포인트를 통신 채널로 활용할 수도 있으므로, 필요에 따라 변화하는 조건에 적응하거나 코드를 업데이트할 수 있는 거의 무한한 수의 통신 경로를 제공한다.

② 다기능(Multifunctionality)

C2 서버로부터의 업데이트는 또한 고급 멀웨어의 기능을 완전히 변경할 수 있다. 이 다기능 기능을 통해 공격자는 신용 카드 번호 도용, 스파이웨어와 같은 다른 멀웨어 페이로드가 포함된 스팸 발송 또는 갈취 목적의 랜섬웨어 설치와 같은 특정 원하는 작업을 수행하기 위해 다양한 엔드포인트를 전략적으로 사용할 수 있다.

③ 다형성 및 변형(Polymorphism and metamorphism)
일부 고급 멀웨어는 멀웨어의 서명을 변경하는 것 외에는 다른 목적이 없는 코드의 전체 섹션을 가지고 있으므로, 가장 작은 멀웨어 프로그램에도 무한히 많은 고유한 서명 해시를 생성한다. 다형성 및 변형과 같은 기술은 전통적인 서명 기반 안티 멀웨어 도구 및 소프트웨어의 탐지를 피하기 위해 사용된다. 예를 들어, 파일 또는 소스 코드의 단일 문자 또는 비트만 변경하면 멀웨어의 해시 서명이 완전히 변경되는 것이다.

④ 난독화(Obfuscation)

고급 멀웨어는 종종 일반적인 난독화 기술을 사용하여 멀웨어에서 특징적으로 사용되므로, 멀웨어 방지 서명에 의해 쉽게 탐지되는 특정 이진 문자열을 숨기거나 전체 멀웨어 프로그램을 숨긴다.

 

랜섬웨어

랜섬웨어는 기술적으로는 멀웨어로 분류되지만, 지난 5년간 급증한 랜섬웨어 공격의 정도를 따져볼 때, 추가적인 구분이 필요다. 랜섬웨어는 멀웨어를 사용하여 몸값을 지불할 가치가 있는 무언가를 보유하는 범죄 비즈니스 모델이다. 랜섬웨어 공격의 피해자는 작업이 심각하게 저하되거나 완전히 종료될 수 있다. 암호화 랜섬웨어가 랜섬웨어의 가장 일반적이고 성공적인 유형이지만, 유일한 것은 아니다. 랜섬웨어는 단일 멀웨어 계열이 아니라 멀웨어가 몸값을 지불할 가치가 있는 무언가를 보유하기 위해 사용되는 범죄 비즈니스 모델이라는 점을 기억해야 한다.

 

랜섬웨어는 결코 새로운 개념이 아니지만, 랜섬웨어는 개인과 기업 모두를 대상으로 하는 수십억 달러 규모의 범죄 비즈니스가 되었다. 진입 장벽이 낮고 수익 창출의 효율성이 낮기 때문에 다른 사이버 범죄 비즈니스 모델을 빠르게 대체했고, 오늘날 조직이 직면한 가장 큰 위협이 된 것이다. 또한, 중요한 점은 위협 행위자가 일반적으로 몸값이 지불된 후 데이터를 해독하는 것을 당연하게 여기지만, 꼭 그렇다는 보장은 없다는 것이다. 나쁜놈에게 무슨 신뢰가 있냐 이말이다. 실제로 많은 공격자가 현재 피해자의 데이터 사본(특히 신용 카드 번호)을 암호화하기 전에 유출한 다음, 몸값이 지불된 후에도 다크 웹에서 데이터를 판매하고 있다.

 

랜섬웨어 공격이 성공하려면 공격자가 다음 5단계를 실행해야 한다.

① 시스템이나 장치 타협 및 통제

랜섬웨어 공격은 일반적으로 소셜 엔지니어링을 사용하여 사용자가 첨부 파일을 열거나 웹 브라우저에서 악성 링크를 보도록 속이는 것으로 시작된다. 이를 통해 공격자는 시스템에 멀웨어를 설치하고 통제할 수 있다. 그러나 점점 더 일반화되는 또 다른 전술은 공격자가 네트워크에 액세스하고 네트워크에서 정찰을 수행하여 잠재적인 표적을 식별하고 C2를 설정하고, 다른 멀웨어를 설치하고 지속성을 위해 백도어 계정을 만들고 잠재적으로 데이터를 유출하는 것이다.

② 시스템에 대한 액세스 방지

공격자는 특정 파일 유형을 식별하고, 암호화하거나 전체 시스템에 대한 액세스를 거부하도록 한다.

③ 피해자에게 통보

겉보기에는 분명해 보이지만, 공격자와 피해자는 종종 다른 언어를 사용하고, 다양한 수준의 기술적 능력을 가지고 있다. 공격자는 피해자에게 타협에 대해 알리고, 요구되는 몸값을 명시하며 접근을 되찾기 위한 단계를 설명한다.

④ 몸값 지불 수락

공격자는 법 집행을 피하면서 지불을 받기 위해 비트코인과 같은 암호화폐를 거래에 활용한다.

⑤ 전체 액세스 권한 반환

공격자는 장치에 대한 액세스 권한을 반환해야 한다. 손상된 시스템을 복구하지 못하면, 아무도 몸값을 지불하지 않을 것이기 때문에 이 계획을 깨는 일이 될 수 있을 것이다. 그렇기에 또(?) 공격을 써먹으려면 확실하게 돌려주어야 한다.

 

공격자가 이러한 단계 중 하나라도 실패하면, 그 계획은 성공하지 못할 것이다. 랜섬웨어의 개념은 수십 년 동안 존재해 왔지만, 이 다섯 단계를 모두 광범위하게 완료하는 데 필요한 신뢰할 수 있는 암호화 및 암호 해독과 같은 기술은 불과 몇 년 전까지만 해도 사용할 수 없었다.

현시대의 암호화 랜섬웨어 공격에 배포된 악성코드는 특별히 정교하지는 않지만, 범죄 운영자에게 수익을 창출할 뿐만 아니라, 영향을 받는 조직이 정상적인 운영을 계속하는 것을 방지하는 데 매우 효과적인 것으로 입증되었다. 매주 새로운 보안 이슈의 헤드라인은 크고 작은 조직이 이러한 위협에 취약하다는 것을 보여주며, 새로운 공격자들이 시류에 편승하여 자신만의 랜섬웨어 캠페인을 시작하도록 유도한다.

[4-2] 취약점과 익스플로잇

잇스플로잇은 웹 브라우저, Adobe Flash, Java 또는 Microsoft Office와 같은, 설치된 엔드포인트 또는 서버 소프트웨어의 취약성을 이용하는 멀웨어의 유형이다. 공격자는 소프트웨어 취약성을 대상으로 하는 공격을 조작하여 소프트웨어가 공격자를 대신하여 기능을 수행하거나 코드를 실행하게 한다.

소프트웨어에서 취약성이 일상적으로 발견되는 속도는 정말 놀라운 속도라 평할만 하다. 소프트웨어가 처음 개발되고 출시되었을 때 소프트웨어에 취약성이 존재할 수도 있고, 후속 버전 업데이트 또는 보안 패치가 설치되었을 때 부주의로 취약점이 생성되거나 심지어 재생성될 수도 있다. 팔로 알토 네트웍스(Palo Alto Networks)의 조사에 따르면, 익스플로잇의 78%가 2년 미만의 취약성을 이용한다.

 

 

보안 패치는 소프트웨어 공급업체가 소프트웨어에서 취약성을 발견한 후 가능한 한 빨리 개발해야 한다. 그러나 공격자는 소프트웨어 공급업체가 취약성을 인식하거나 패치를 개발할 기회를 갖기 전에 취약성을 알고 이를 악용하기 시작할 수 있다. 이러한 취약성 발견과 패치 개발 및 릴리스 사이의 지연을 제로 데이 공격이라고 한다. 취약점이 공개적으로 발표되기까지는 몇 달 또는 몇 년이 걸릴 수 있다. 보안 패치가 사용 가능해진 후, 조직이 영향을 받는 모든 시스템에서 패치를 적절하게 테스트하고 배포하는 데는 필연적으로 시간이 필요하다. 무턱대고 할 수는 없는 노릇이다. 따라서 이 기간 동안 취약한 소프트웨어를 실행하는 시스템이 공격자에 의해 악용될 위험이 있더,

 

공격 대상은 겉보기에는 무해해 보이는 데이터 파일(Microsoft Word 문서, PDF 파일 및 웹 페이지 등)에 내장되거나 취약한 네트워크 서비스를 대상으로 할 수 있다. 공격 대상은 악성 프로그램 방지(또는 바이러스 백신) 소프트웨어를 트리거하지 않고, 쉽게 탐지되지 않는 합법적인 파일에 패키지된 경우가 많기 때문에 특히 위험하다.

 

익스플로잇 데이터 파일을 만드는 것은 두 단계의 프로세스로 나타낼 수 있다. 첫 번째 단계는 데이터 파일 내에 작은 악성 코드를 내장하는 것이다. 그러나 공격자는 여전히 애플리케이션을 속여서 악성 코드를 실행해야 한다. 따라서 익스플로잇의 두 번째 부분은 일반적으로 공격자의 코드가 취약한 소프트웨어의 실행 흐름에 삽입되도록 허용하는 메모리 손상 기술을 포함한다. 그 후, 문서 뷰어 또는 웹 브라우저와 같은 합법적인 앱이 공격자를 대신하여 통신을 설정하고, 대상 엔드포인트에 추가 악성 프로그램을 업로드할 수 있는 기능을 제공하는 등의 작업을 수행한다. 익스플로잇되는 응용 프로그램은 합법적인 응용 프로그램이기 때문에 기존의 서명 기반 바이러스 백신 및 화이트리스트 소프트웨어는 이러한 공격에 대해 사실상 효과가 없다.

 

수천 개의 익스플로잇 사례가 있지만, 이들은 모두 드물게 변경되는 작은 핵심 기법에 의존한다. 예를 들어, 힙 스프레이는 메모리 힙 내의 여러 위치에 공격자의 코드를 삽입하려는 시도로, 프로세스에 의해 해당 위치 중 하나가 호출되어 실행되기를 희망한다. 일부 공격은 더 많은 단계를 포함할 수도 있고, 일부는 더 적은 단계를 포함할 수도 있지만, 일반적으로 애플리케이션을 악용하기 위해 3~5개의 핵심 기법을 사용해야 한다. 공격의 복잡성이나 복잡성에 관계없이 공격자가 성공하려면 미로를 탐색하여 목표에 도달하는 것과 같은 일련의 핵심 익스플로잇 기법을 순차적으로 실행해야 한다.

[4-3] 스팸 및 피싱

스팸과 피싱 이메일은 멀웨어의 가장 일반적인 전달 방법이다. 전체 글로벌 이메일 트래픽의 백분율로 스팸 이메일의 양은 매달 크게 변동하는데, 일반적으로는 45~75%에 달한다. 스팸이라는 것은 오래 전부터 시달리던 것이기에, 오늘날 대부분의 최종 사용자가 스팸 이메일을 쉽게 식별할 수 있고, 링크를 클릭하지 않거나 첨부 파일을 열거나, 스팸 이메일에 답장하지 않는 것을 잘 알고 있지만, 스팸은 여전히 멀웨어 확산을 위한 인기 있고 효과적인 감염 매개체로 남아 있다.

반면 스팸과 달리, 피싱 공격은 점점 더 정교해지고 식별하기가 어려워지고 있다.

 

스피어 피싱(Spear Phishing)은 대상에 대한 특정 정보를 수집하여, 피해자에게 더 신뢰할 수 있는 것으로 보이는 표적 피싱 공격으로, 당연히 성공 확률이 더 높다. 스피어 피싱 이메일은 수신자가 실제로 알고 거래하는 조직(ex. 금융 기관) 또는 개인을 스푸핑할 수 있으며, 이는 단순히 이메일 주소가 아닌, 수신자의 이름과 같은 매우 특정한 정보를 포함할 수도 있다. Symantec의 2018년 인터넷 보안 위협 보고서에 따르면, 스피어 피싱 이메일은 알려진 140개 표적 공격 그룹 중 71%가 사용하여, 단연코 가장 널리 사용되는 감염 매개체로 자리 잡았다고 한다.

 

웨일링은 특히 고위 경영진이나 조직 내 다른 세간의 이목을 끄는 대상을 겨냥한 스피어 피싱 공격의 한 종류다. 웨일링 이메일은 일반적으로 법적 소환장, 고객 불만 사항 또는 기타 심각한 문제로 위장한다.

스피어 피싱, 그리고 피싱 공격은 일반적으로 이메일을 통해서 행해지는 것은 아니다. SNS나 게시판의 링크나 트위터의 단축된 URL 등, 필요한 것은 오직 링크 하나뿐이다. 이러한 방법은 공격자가 대상에 대한 많은 정보를 수집한 다음 위험한 링크를 통해 사용자가 편안하게 느끼는 장소로 유인할 수 있기 때문에 스피어 피싱 공격에 특히 효과적이다.

 

워터링 홀 공격은 표적 피해자가 방문할 가능성이 있는 웹사이트, 예를 들어 의료 제공자가 자주 방문할 수 있는 보험 회사 웹사이트를 손상시킨다. 손상된 웹사이트는 일반적으로 의심하지 않는 방문자를 멀웨어(드라이브 바이 다운로드)에 감염시킨다. Symantec에 따르면, 워터링 홀 공격은 표적 공격 그룹에서 두 번째로 인기 있는 감염 벡터(24%)다.

파밍 공격은 일반적으로 엔드포인트의 로컬 호스트 파일을 수정하거나 DNS 서버를 손상시켜 합법적인 웹 사이트의 트래픽을 가짜 사이트로 리다이렉션한다. DNS 포이즈닝을 실행하는 것이다.

[4-4] 봇과 봇넷

봇과 봇넷은 조직이 전통적인 악성 소프트웨어 방지 솔루션을 사용하는 것을 감지하고 방어하기 어렵기로 악명이 높은 대상이다.

 

봇넷에서 고급 멀웨어는 공동의 목표를 향해 함께 작동하며, 각 봇은 전체 봇넷의 힘과 파괴력을 키운다. 봇넷은 다양한 보안 대책이 배치됨에 따라, 새로운 목표를 추구하거나 적응하도록 진화할 수 있다. C2 서버를 통한 개별 봇과 더 큰 봇넷 간의 통신은 봇넷의 복원력을 제공한다.

봇넷의 유연성과 방어 회피 능력을 고려할 때, 봇넷은 조직에 상당한 위협이 되고 있다. 스팸을 보내는 것부터 다음 날 신용카드 데이터를 훔치는 것까지, 봇넷의 궁극적인 영향은 대체로 공격자에게 달려 있다. 왜냐하면 많은 사이버 공격이 몇 달 또는 심지어 몇 년 동안 탐지되지 않기 때문이다.

 

봇넷은 사이버 범죄자들에게 의심스러운 수입원이다. 봇넷은 컴퓨터 자원인 봇을 수확하기 위해 사이버 범죄자들에 의해 만들어진다. 봇넷의 통제는 C2 서버를 통해 다른 사이버 범죄자들에게 팔리거나 임대될 수 있다.

 

봇넷을 줄이거나 무력화하는 것의 핵심은 봇(감염된 엔드포인트)을 그들의 뇌라고 할 수 있는 C2 서버로부터 분리하는 것이다. 봇들이 서버에 접근할 수 없다면, 그들은 새로운 지시를 받거나, 도난당한 데이터를 업로드하는 등의 임무를 수행할 수 없다.

 

이 방법은 언뜻 간단해 보일 수 있지만, 일반적으로 봇넷의 분산된 C2 인프라를 매핑하기 위해서는 광범위한 리소스가 필요하며, 이 방법은 거의 항상 전 세계의 수많은 산업, 보안 및 법 집행 기관 간의 엄청난 양의 조사, 전문 지식 및 조정을 필요로 한다. 현실성이 떨어진다는 뜻이다.

 

C2 서버를 비활성화하려면 서버를 물리적으로 압수하거나 서버와 관련된 도메인 및 IP 주소의 소유권을 모두 얻어야 한다. 봇넷의 C2 인프라를 비활성화하려면 기술 팀, 법률 팀 및 법 집행 기관 간의 매우 긴밀한 협력이 필수적이다. 많은 봇넷은 전 세계에 C2 서버를 보유하고 있으며, 특히 인터넷 범죄에 대한 법 집행이 거의 또는 전혀 없는 국가에서 진행된다.

 

봇넷이 거의 단일 C2 서버에 의존하지 않고, 중복 목적으로 여러 개의 C2 서버를 사용한다는 사실은 더욱 복잡한 작업을 예상케 한다. 또한 각 서버는 일반적으로 중개자를 통해 서버의 실제 위치를 숨기기 위한 작업도 진행한다. 이러한 중개자에는 P2P 네트워크, SNS, 심지어 감염된 다른 봇을 통해 프록시를 수행하는 통신도 포함된다. 이러한 회피 기술은 C2 서버를 찾아내는 난이도를 훨씬 올리는 것이다.

 

대부분의 봇넷은 또한 C2 서버의 손실을 견디도록 설계되었으며, 이는 봇넷이 진정 타격을 받기 위해서는 전체 봇넷 C2 인프라가 거의 동시에 비활성화되어야 한다는 것을 의미한다. C2 서버에 액세스할 수 있거나 폴백 옵션 중 하나가 살아남으면 봇은 업데이트를 받고 완전히 새로운 C2 서버 세트를 빠르게 채울 수 있으며, 그결과 봇넷은 빠르게 복구된다. 따라서 단, 한 대의 C2 서버가 짧은 시간 동안만 기능을 유지해도 공격자가 봇을 업데이트하고 전체 봇넷을 복구하는 데 필요한 창을 제공할 수 있다는 것이다.

 

Spamhaus Malware Labs는 2021년 1분기에만 5,778개의 봇넷 C2 서버를 확인했다. 1개의 봇넷 C2 서버는 감염된 엔드포인트(봇)를 제어하고, 귀중한 데이터를 유출하는 데 사용된다. 봇넷은 대량의 스팸을 보내고, 랜섬웨어를 퍼뜨리고, 분산 서비스 거부(DDoS) 공격을 시작하고, 클릭 사기 공격을 벌이며, 암호화폐를 채굴하기 위해 쉽게 확장할 수도 있다.

 

스패밍 봇넷

가장 큰 봇넷은 때로 스팸 발송 전용이다. 왜 그런가 하면, 사실 그 전제는 간단하다. 공격자는 가능한 한 많은 엔드포인트를 감염시키려고 시도하고, 엔드포인트는 최종 사용자가 모르는 사이에 스팸 이메일 메시지를 보내는 데 사용될 수 있다. 이러한 유형의 봇이 조직에 미치는 상대적 영향은 초기에는 낮아 보일 수 있다. 그러나 스팸을 보내는 감염된 엔드포인트는 추가 대역폭을 소비하고, 궁극적으로 사용자와 네트워크 자체의 생산성을 저하시킬 수 있다. 아마 더 중요한 것은 조직의 이메일 도메인과 IP 주소가 다양한 실시간 블랙홀 목록(RBL)에 쉽게 나열되어, 합법적인 이메일이 스팸으로 표시되고 차단되며 조직의 평판을 손상시킬 수 있다는 사실일 것이다.

 

Rustock 봇넷은 스팸 봇넷의 한 예시다. 그것은 개개의 봇으로부터 시간당 최대 25,000개의 스팸 이메일 메시지를 보낼 수 있고, 실제로 봇 당 평균 분당 192개의 스팸 이메일을 보냈다. Rustock은 전세계적으로 240만대 이상의 컴퓨터를 감염시킨 것으로 추정된다. 2011년 3월, 미국의 FBI는 마이크로소프트 등과 협력하여 5년 이상이나 운영되며, 당시 세계 스팸의 60%를 보낸 책임이 있었던 Rustock 봇넷을 제거할 수 있었다.

 

DDoS 봇넷

DDoS 공격은 패킷, 데이터 또는 트랜잭션과 같은 극도로 많은 양의 네트워크 트래픽이 대상 피해자의 네트워크로 전송되어 네트워크와 시스템을 사용할 수 없게 만드는 사이버 공격의 한 유형이다. DDoS 봇넷은 봇을 DDoS 공격의 일부로 사용하여, 많은 수의 봇이 보내는 트래픽으로 대상 서버 또는 네트워크를 압도하는 공격이다. 이러한 공격에서는 봇 자체가 공격 대상이 아니다. 대신, 봇은 일부 다른 원격 대상에 트래픽을 플러딩하는 데 사용된다. 공격자는 봇넷의 엄청난 규모를 활용하여 대상의 네트워크 및 서버 리소스를 압도하는 트래픽을 생성한다.

 

다른 유형의 사이버 공격과 달리, DDoS 공격은 일반적으로 장기간의 은밀한 접근 방식을 사용하지 않는다. 대신 DDoS 공격은 피해자의 네트워크 및 시스템 인프라와 비즈니스 및 평판에 신속하게 손상을 입히기 위해, 눈에 띄는 무차별 대입 공격의 형태를 취하는 경우가 더 많다.

 

DDoS 공격은 종종 개인적 또는 정치적 이유로 특정 조직을 목표로 하는 경우가 있다. 특정 정치적 의제 또는 사회적 대의를 알리거나 또는 항의하기 위해 해킹 전문가들에 의해 사용되기도 한다는 것이다. 물론 이런 정치와 종교에 모든 것을 바친 사람이 아니더라도, 순전히 돈을 위한 경우도 많다. DDoS 공격은 공격을 종료하는 대가로 막대한 몸값을 지불하는 범죄적 갈취 목적으로도 사용될 수 있다.

 

DDoS 봇넷은 조직에게 이중적인 위험을 나타낸다. 조직 자체가 DDoS 공격의 대상이 될 수 있고, 조직이 궁극적인 대상이 아니더라도, 공격에 참여하는 감염된 엔드포인트는 자신도 모르게 중요한 네트워크 리소스를 소비하고 범죄 행위를 용이하게 만든다.

 

DDoS 공격은 나중의 다른 공격을 위한 표적 전략의 일부로 사용될 수도 있다. 공격자는 DDoS 공격을 방어하고 네트워크와 시스템을 복구하는 데 바쁜 와중인 상황일 것이고, 이에 공격자가 공격 대상 네트워크에 악성 프로그램 감염을 일으키고 네트워크에 발판을 마련할 수 있는 버퍼 오버프롤우 같은 공격을 실행할 수 있을 것이다. 

 

파이낸셜 봇넷

ZeuS와 SpyEye와 같은 파이낸셜 봇넷은 모든 유형의 기업으로부터 직접적인 자금 도난에 책임이 있다. 이러한 유형의 봇넷은 일반적으로 스팸이나 DDoS 봇넷만큼 크지는 않다. 대신, 파이낸셜 봇넷은 종종 공격자가 코드에 라이센스를 부여하고 자신만의 봇넷을 구축할 수 있도록 하는 키트로 판매된다.

 

이러한 금융 침해의 영향은 민감한 소비자 및 금융 정보의 침해를 포함하여, 막대한 재정적, 법적 및 브랜드 손상으로 이어질 수 있다.