Microsoft, 클라우드 역사상 최대 규모의 DDoS 공격 차단

윈도우 운영 체제 개발사인 마이크로소프트는 10월 24일에 자사 클라우드에서 감지된 서비스 거부(DDoS) 공격이 중단되었다고 월요일에 밝혔습니다.

Microsoft 블로그에 따르면, 이 DDoS 공격은 호주의 단일 엔드포인트를 표적으로 삼았으며 초당 15.72테라비트(Tbps)와 초당 약 36억 4천만 패킷(pps)에 달했습니다.

이 공격은 AISURU로 알려진 TurboMirai급 사물 인터넷(IoT) 봇넷으로 trac되었는데, 보안 회사인 크렙슨은 이 봇넷이 약 1년 동안 미국의 인터넷 서비스 제공업체인 AT&T, Verizon, Comcast를 침해한 사실을 발견했습니다. 

Microsoft는 을 공개하지 않았지만dent, 심각한 교란이 발생하기 전에 자동화된 방어 시스템을 통해 공격을 무력화시켰다는 사실을 확인했습니다.

AISURU는 기록적인 공격을 실행할 수 있었습니다.

Microsoft에서 발표한 분석에 따르면, 이 공격은 특정 공용 IP 주소에 대한 매우 빠른 속도의 UDP 플러드를 통해 이루어졌습니다. Azure 보안 담당 수석 제품 마케팅 관리자인 션 웨일런은 "이 공격은 특정 공용 IP 주소를 대상으로 하는 매우 빠른 속도의 UDP 플러드를 포함했으며, 다양한 지역에 걸쳐 50만 개 이상의 소스 IP에서 시작되었습니다."라고 설명했습니다.

Azure의 분석가들은 밝혔습니다 최소한의 소스 스푸핑과 무작위 소스 포트를 사용했다고 trac하고 ISP가 완화 조치를 효과적으로 시행할 수 있도록

AISURU는 미국 및 기타 국가의dent인터넷 서비스 제공업체(ISP) 내 손상된 가정용 라우터, 카메라, DVR 시스템을 악용합니다. QiAnXin XLab은 이 봇넷이 약 30만 대의 감염된 기기를 조종하고 있다고 추정합니다. 

KrebsOnSecurity 연구원들은 "Aisuru의 소유주는 취약한 장치를 인터넷에서 지속적으로 검색하고 이를 분산 서비스 거부(DDoS) 공격에 사용하기 위해 노예로 삼고 있습니다. 이를 통해 대상 서버를 엄청난 양의 정크 트래픽으로 마비시킬 수 있습니다."라고 지적했습니다.

미국의 AIOps 및 기술 기업 Netscout 또한 AISURU가 정부, 군대, 그리고 법 집행 기관의 공격을 피하기 위해 제한된 고객층을 대상으로 운영되고 있음을 발견했습니다. 관찰된 공격의 대부분은 온라인 게임 플랫폼과 관련이 있는데, 이러한 플랫폼의 대량 트래픽은 다른 네트워크에 부수적인 장애를 일으킬 수 있습니다.

"아웃바운드 및 크로스바운드 DDoS 공격은 인바운드 공격만큼이나 파괴적일 수 있습니다. 현재 ISP들은 네트워크에서 초당 테라비트급 이상의 아웃바운드 공격을 일상적으로 경험하고 있으며, 이는 운영 문제를 야기할 수 있습니다."라고 Netscout 엔지니어인 롤랜드 도빈스는 추측했습니다.

언급했습니다dent증명 탈취, AI 기반 웹 스크래핑, 스팸, 피싱을운영하며dent, 공격 속도가 20Tbps를 초과한다고

2025년 현재까지 AISURU 봇넷 피해

5월, 사이버 보안 블로그 KrebsOnSecurity는 구글의 Project Shield가 대응한 기록적인 6.35Tbps 규모의 공격을 보고했습니다. AISURU는 그 후 몇 달 만에 11Tbps 규모의 공격을 감행하여 기록을 경신했고, 9월 말에는 공격 규모가 22Tbps를 넘어섰습니다. 

에 따르면, 이 봇넷은 극심한 DDoS 트래픽을 측정하는 전용 서버로 29.6Tbps의 정크 데이터를 전송했습니다 발표한 보고서 보안 전문 기자 브라이언 크렙스가 

브리즈번에 있는 Global Secure Layer(GSL)의 수석 보안 엔지니어인 스티븐 퍼거슨은 50,000개가 넘는 Minecraft 서버를 지원하는 DDoS 보호 서비스인 TCPShield가 10월 8일에 15Tbps가 넘는 정크 데이터를 공격받았다고 밝혔습니다. 

퍼거슨은 "이로 인해 마이애미 외부 항구에 몇 주 동안 심각한 혼잡이 발생했으며, 이는 날씨 지도를 통해 공개적으로 드러났습니다."라고 말했습니다.

이 공격으로 업스트림 서비스 제공업체 OVH의 마이애미 포트에 심각한 정체가 발생하여 회사는 TCPShield 서비스를 중단할 수밖에 없었습니다. 그러나 그는 네트워크가 이제 GSL 보안 서비스로 완벽하게 보호되고 있다고 밝혔는데, 소규모 ISP는 이 서비스를 구매할 예산이 부족할 수 있습니다.

만 DDoS 공격은 , 악성 트래픽 규모는 주변 지역의 관련 없는 서비스와 연결에 영향을 미칩니다. 대부분의 조직은 노출 및 피해로부터 보호할 수 있는 전문적인 완화 도구가 부족하여 이러한 공격을 견뎌낼 자원이 부족합니다.

마이크로소프트의 이번 공개는 Netscout이 TurboMirai급 IoT 봇넷인 일레븐11(RapperBot으로도 알려짐)에 대한 보도 직후에 이루어졌습니다. 일레븐11은 2월 말부터 8월까지 약 3,600건의 DDoS 공격을 감행한 것으로 추정됩니다.

Eleven11의 명령 및 제어(C2) 서버 중 일부는 ICANN과는 별개의 대체 DNSdent 인 OpenNIC의 일부인 ".libre" 최상위 도메인(TLD)에 등록되어 있었습니다. 악성코드 분석 결과, 해당 봇넷은 ICANN 일반 최상위 도메인(.live 및 .info)을 사용했으며, C2 서버 IP 주소는 기록에 암호화되어 있는 것으로 밝혀졌습니다. 

Netscout은 2024년 샘플을 인용했는데, 이를 통해 Eleven11의 소스 코드가 하드코딩된 IP 대신 도메인 이름을 사용하여 C2 인프라를 동적으로 재구성할 수 있을 정도로 성숙해졌음을 알 수 있습니다.