<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>"

Transcription

1 웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다

2 1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다. 아울러근래몇년동안의 DDoS 공격을살펴보면공격자들은 < 그림 1> 과같은구조를가진봇넷 (Botnet) 1) 을주로이용한다는것도확인된다. 이러한봇넷을구성하기위해공격자들은다양한방법으로 PC에악성봇파일을감염시키고있는데그방법은갈수록지능화되어짧은시간동안많은 PC를동원하여봇넷을구성할수있게되었다. < 그림 1. 봇넷의기본구조 > 본특집에서다루게될 DDoS 피해사례는위에서언급한봇넷을이용한사례이며 PC 사용자들이주로사용하는웹하드서비스통해악성봇을유포한후봇넷을구성한사례이다. 아울러본특집에서는웹하드를서비스사용하는중악성봇에감염된 PC와실제 C&C 서버 2) 로사용된서버를분석한데이터를토대로기술하도록하겠다. 1) Wikipedia, "Botnet", 2009, 2) Command & Control Server, 악성봇에감염된좀비PC를제어하는서버 - 2 -

3 2. 피해상황 DDoS 공격의피해를입은시스템은온라인게임을서비스해주는웹서버였으며 해당웹서버가처리가능한최대대역폭은 1Gbps 이었다. 피해시스템에대한개요 는아래와갔다. 가. 피해시스템 o 대상사이트 : 1개사이트 ( 온라인게임서비스 ) o 운영체제 : Windows Server 2003 Standard Edtion o 웹서버환경 : IIS 6.0, ASP o 기타서비스 : FTP 나. DDoS 공격개요 o 피해대상 : 1개웹서버 o 공격유형 : TCP Flooding, SYN Flooding, ACK Flooding, CC Attack o 공격트래픽 : 약 8Gbps o 공격시간 : 약 45분 o 공격 IP : 1차 100여개, 2차 3000여개, 3차 4000여개 DDoS 공격은총 3차례에나누어서진행되었으며공격이거듭될수록 DDoS 공격에사용된봇넷의좀비 PC 규모는급격히늘어나고있었다. 따라서좀비 PC들이어떻게악성봇에감염되었는지를파악하기위해감염경로를파악하고감염된좀비 PC들을제어하는 C&C 서버를찾아내기위해 DDoS 공격에사용된좀비 PC를분석하였다. 좀비 PC 와 C&C 서버분석결과이번 DDoS 공격은전체적으로다음 < 그림 2> 와 같은구조로수행되어졌음이확인되었다

4 < 그림 2. DDoS 공격구조 > 공격자는먼저 1악성봇 (Downloader) 으로확인된 MediaControl.exe를동영상파일과합친후웹하드에업로드하였고, 2웹하드서비스를통해해당동영상을다운로드받은 PC는 MediaControl.exe 를같이다운로드받게된다. 이후 3MediaControl.exe가실행되어 C&C 서버로부터피해서버의 IP가하드코딩된 Net_Send.exe 를 PC로다운로드받게되며 4Net_Send.exe 는지정된 IP로각종공격트래픽을발생시키게되는것이다. 위과정의 DDoS 공격을받은웹사이트는 < 그림 3> 과같이접속불능상태에빠지게된다. < 그림 3. DDoS 공격으로인해접속불능상태인웹사이트 > - 4 -

5 3. Bot( 좀비 ) PC 분석 본특집에서다루고있는 DDoS 피해사례에대한세부적인분석을위해먼저 DDoS 공격에서사용된 Bot( 좀비 ) PC 의분석을진행하였다. 분석된 Bot PC 는 1 차 DDoS 공격시사용된 100 여개의 IP 중하나였으며자세한내용은아래와같다. 가. 분석대상 o 대상 PC : A대학교연구실노트북 o 운영체제 : Windows Vista o 기타어플리케이션 : J 社웹하드사용중 o 특이사항 : Windows 보안업데이트완전설치상태 나. 분석결과 o 먼저해당봇감염 PC 의 Internet Explorer 사용내역을확인하기위해 index.dat 파일을아래와같이분석하였다. < 그림 4. Internet Explorer 사용내역 > index.dat을통해 IE History를분석한결과 < 그림 4> 에서와같이사용자는 J웹하드서비스에접속하여동영상파일을다운로드받은시간과 MediaControl.exe의생성시간이동일한것으로확인되었다. 따라서해당동영상과 MediaControl.exe는같이다운로드된것으로추정된다

6 o 웹하드서비스를통해다운로드된 MediaControl.exe 는 < 그림 5> 에서보는것과같이윈도우즈시작프로그램에등록되어윈도우즈가시작될때마다실행되게된다. < 그림 5. 윈도우즈시작프로그램목록 > o 윈도우즈시작프로그램에등록된 MediaControl.exe 가실행되면해당봇감염 PC 는 < 그림 6> 과같이지정된 C&C 서버의특정포트로접속을시도하게된다. < 그림 6. C&C 서버로접속 > MediaControl.exe 로인해 C&C 서버로접속한봇감염 PC 는 C&C 서버 의특정포트를통해 DDoS 공격수행에필요한추가악성코드를다운로드 받게되는것이다. o 봇감염 PC 는 C&C 서버로부터추가악성코드를다운로드받은후 < 그림 7> 과같이지정된경로에마치정상적인파일인것처럼저장되게된다. < 그림 7. 추가로다운로드된악성코드 > - 6 -

7 C&C 서버로부터다운로드받은 Net_Send.exe의내부에는봇에감염된좀비 PC들의공격대상이되는서버의 IP 주소가하드코딩되어있다. o DDoS 공격에필요한파일을 C&C 서버로부터모두다운로드받은 MediaContrl.exe 프로세스는 Net_Send.exe 파일을참조하여 DDoS 공격을수행하게된다. < 그림 8. DDoS 공격수행 > < 그림 8> 에서와같이 MediaControl.exe 프로세스는 Net_Send.exe 를자 식프로세스로실행하게되며 Net_Send.exe 는하드코딩된 IP 를대상으로 각종 DDoS 공격을수행하게된다. o C&C 서버로부터다운로드되는파일은 MediaUpdate.inf, MediaLoad.sys, MediaInit.sys, MediaUpdate.exe, Net_Send.exe 등이며이파일들의생성순서는아래 < 그림 9> 와같다

8 MediaControl.exe 에감염된좀비 PC 는다음과같은순서로악성코드를생성하게된다. 1 C&C 서버에접속하여추가악성코드의다운로드를시도하게되고 2 생성될악성코드명을지정하고있는 MediaInit.sys와악성코드의업데이트정보를가진 MediaUpdate.sys, 그리고암호화된악성코드인 MediaLoad.sys 를다운로드받게된다. 3 MediaLoad.sys의압축이풀리면공격대상사이트의 URL이하드코딩되어있는 MediaUpdate.exe가생성되거나역시공격대상사이트의 IP 가하드코딩되어있는 Net_Send.exe가생성되게된다. 마지막으로분석된좀비 PC 에서추출된 MediaUpdate.exe 와 Net_Send.exe 는 모두 SYN Flooding 공격을하도록되어있었다. 4. C&C 서버분석 앞서설명했다시피웹하드서비스를통해 MediaControl.exe를다운로드받은 PC 들은 MediaControl.exe가윈도우즈시작프로그램에등록되어윈도우즈가시작될때마다실행되게된다. 이때 MediaControl.exe 프로세스는원격지의웹서버에접속하여또다른악성코드를해당 PC에추가로다운로드받게되는데그웹서버를분석한결과 C&C 서버역할을수행하고있었던것으로확인되었다. C&C 서버로확인된서버에대한자세한분석내용은아래와같다. 가. 분석대상 o 운영체제 : Windows Server 2003 Standard Edition SP2 o 웹서버 : Apache_Tomcat - 8 -

9 o 특이사항 : Apache_Tomcat 이외별다른서비스없음 나. 분석결과 o 웹하드서비스를통해 MediaControl.exe 를다운로드받은 PC 의네트워크 연결상태를보면아래같이 MediaControl.exe 프로세스가원격지의웹서 버와연결되어있는것을확인할수있다. < 그림 10. 봇 PC 와연결된 C&C 서버 > < 그림 10> 과같이 MediaControl.exe 는주기적으로 C&C 서버로확인된원 격지의웹서버와연결이되었으며해당웹서버로부터앞서 Bot PC 분석에 서언급한악성코드를다운로드받게된다. o 해당 C&C 서버를추적하여분석한결과웹서버의홈디렉토리로사용된 경로에아래와같은파일들이위치하고있었다. < 그림 11. C&C 서버의홈디렉토리 > < 그림 11> 에서보면 C&C 서버의홈디렉토리에는 MediaControl.exe 가 실행되는 PC 로전송할악성코드와 DDoS 공격에사용되는툴을올려놓은 것을확인할수있다. o C&C 서버의홈디렉토리에서발견된 Server_Tool.exe 파일은아래그림 과 DDoS 공격관련파일을배포하기위한툴로확인되었다

10 < 그림 12. DDoS 공격관련파일배포툴 > o C&C 서버의웹서버홈디렉토리에는 MediaControl.exe 에감염되어 C&C 서버로접속한 Bot PC 들의 IP 와악성코드를추가로다운로드받아간 IP 들 의로그가남아있는것을확인하였다. < 그림 13. Bot PC 들의접속로그 > < 그림 13> 의접속로그를통해 MediaControl.exe 를다운로드받은 Bot PC 의규모를확인할수있었으며아울러 MediaControl.exe 가최초배포된시 간도확인할수있었다

11 o 해당 C&C 서버에는주기적으로원격지의 IP로접속을시도하는시스템백도어가설치되어있는것도확인되었다. < 그림 14. C&C 서버에설치된시스템백도어 > C&C 서버에설치된백도어가주기적으로접속을시도한 IP 는아래와같이 중국어느 IDC 에서사용중인 IP 인것으로확인되었다. 5. 결론 본특집에서언급한사례이전에발생했던 Botnet에의한 DDoS 피해사례의가장근본적인원인은거의대다수가취약한웹사이트를통한악성코드의유포와윈도우즈보안업데이트가제대로이루어지지않은 PC로인한복합적인문제가대부분의원인이었다. 하지만이번사례의경우 Botnet 을이용한 DDoS 공격이라는공통점은있으나 Botnet 을구성할수있었던원인이취약한웹사이트를통한악성코드유포도아

12 니었으며보안업데이트가제대로이루어지지않은 PC들에의한 DDoS 공격도아니었다는데주목할필요가있다. 즉, 이번사례에서도확인된바와같이취약한웹사이트를통한악성코드유포와취약한 PC로구성된 Botnet을이용한 DDoS 공격은이제서서히고전적인방식이되어가고있다. DDoS 공격자들은점차지능적으로 Boetnet을구성하여 DDoS 공격을수행하고있으며그규모는갈수록확대되고있고조직화되어가고있는것이현실이다. 이에따라 PC 사용자들은보안업데이트는물론이거니와웹하드서비스나 P2P 서비스를통해검증되지않은파일을다운로드받는것을지양해야하고주기적으로보호나라 ( 의악성봇감염확인서비스를이용하여자신의 PC가악성봇에감염된것은아닌지확인해보아야할것이다