<31305FBEC6C0CCC5DB2E687770>

Transcription

1

2 1. 개요분산서비스거부공격 (Distribute Denial of Service) 은공격의대상이되는서버에서비스장애를 발생시킬뿐만아니라, 네트워크의안정성에도위협이되고있으므로각별한주의가필요하다. 최근, 실제로국내인터넷사용 PC가분산서비스거부공격 (DDoS) 을위한 Agent 로악용되어대량의트래픽을발생하여, 국내일부게임아이템거래사이트에서비스장애를유발시킨사고가발생하였다. KISA 인터넷침해사고대응지원센터에서는피해사고접수이후, 사고확산방지를위하여신속하게원인을추적, 분석및대응조치함으로써피해를최소화시킬수있었다. 공격트래픽을발생시켰던 PC를추적하여확인한결과, 해당PC는분산서비스거부공격 (DDoS) 기능이구현되어있는악성코드 Anti.exe 및 Down(1).exe 에감염되어있었다. 사용자PC는악성웹사이트및기타인터넷경로를통하여감염되었던것으로추정된다. 공격자는감염PC에원격으로명령을전달하는방식으로공격대상사이트를지정, 분산서비스거부공격 (DDoS) 을수행하였으며, 악성코드에는분산서비스거부공격 (DDoS) 기능외에도정보유출등의기능이구현되어있는것으로확인되었다. 인터넷이용자는사용PC가분산서비스거부공격 (DDoS) 을위한 Agent로악용되는것을방지하기위하여 OS를최신으로패치하고, 백신을설치하는등악성코드에감염되지않도록주의하는것이필요하다. 또한, 네트워크담당자는스푸핑트래픽차단설정등예방조치를취하여피해를최소화할필요가있다. 2. 게임아이템거래업체에대한 DDoS 공격기법분석 o 일반인터넷사용자 PC를악용한 DDoS 수행공격자는일반인터넷이용자 PC를공격에악용하기위하여우선다수의 PC를악성코드에감염시킨후, 원격에서공격명령을전달하는방법으로특정사이트에대한분산서비스거부공격 (DDoS) 을수행하였다. < 인터넷사용자PC를이용한분산서비스거부공격 >

3 o 악용된악성코드분산서비스거부공격트래픽을발생시켰던 PC를추적하여, 확인한결과, anti.exe에감염되어있었으며일부pc는 Down(1).exe 파일명의악성코드도감염되어있었다. 해당악성코드들은모두분산서비스거부공격을위한기능이구현되어있는것으로확인되었다. o 악성코드유포방법공격자는 Anti.exe 악성코드감염을위하여, 웹사이트또는 P2P등을이용하였을것으로추정된다. 악성코드가설치되어있는 PC에서실제로아래와같은 Anti.exe 악성코드설치를위한 2.vbs 파일이발견되었다. 해당 vbs을실행하면 [ 생략 ].com/joker1415/k.exe 로부터 k.exe를다운로드받는다. 다운로드된파일은실행되어시스템폴더에 Anti.exe 파일을생성한다. <2.vbs 파일예 > <2.vbs 내용 decoding 결과 > < 감염시 [ 생략 ].com/joker1415/k.exe 에접속하여악성코드를다운로드및실행함 > < 다운로드된파일에의하여 Anti.exe 가생성됨 >

4 3. DDoS 에악용된공격코드 Anti.exe 분석 Anti.exe 악성코드는원격명령전달을통하여분산서비스거부공격 (DDoS) 을수행할수있는것으로확인되었으며, 기타정보유출및원격통제기능도확인되었다. 특히, 공격자는추적을피하기위하여특정웹서버를이용하여원격명령전달을위한서버 IP주소를주기적으로변경하는것으로확인되었다. o 감염PC 원격통제기법 - 공격자는아래와같이웹서버를활용하여원격명령전달서버IP 주소를주기적으로바꾸어가며감염PC들을통제하였다. 자세한방법및절차를정리하면다음과같다. 1 공격자는 생략 ].co.kr/ip.txt 에감염PC를통제할공격자PC 주소를올려놓는다 2 감염이되면 Anti.exe는 생략 ].co.kr/ip.txt에접속하여아래와같은원격공격자의 IP주소와포트정보를받아온다 <ip.txt 에의하여전달되는정보예 > - k[ 생략 ]8.17:200kid

5 3 Anti.exe 는수신한사이트주소를확인후해당주소로접속하여공격자의원격통제를받는다 < 공격자가구성한서버로의접속시도예 > 인터넷침해사고대응지원센터에서피해예방을위하여해당주소의 ip.txt 파일을제거조치함 o Anti.exe의주요악성기능사용자의 PC가감염될경우, 공격자는원격통제를통하여분산서비스거부공격 (DDoS) 수행등감염PC에서다양한악의적인행위를할수있다. 분산서비스거부공격 (DDoS) 수행외에감염 PC내의파일유출, 시스템주요정보파악, 프로세스통제, 레지스트리수정등의기능이구현되어있는것으로확인되었다. 주요악성기능을정리해보면다음과같다. - TCP,UDP, ICMP DoS 공격기능 - 감염 PC의파일시스템통제 ( 파일열람, 변경, 삭제 ) - 공격자가지정하는특정사이트로부터의파일다운로드및실행 - 감염 PC 시스템정보확인 - 웹브라우져시작페이지변경 - 감염 PC 프로세스관리 - 감염 PC 레지스트리생성, 변경, 삭제 - 윈도우화면캡쳐 - 감염PC의서비스생성, 삭제, 수정 분산서비스거부공격 (DDoS) 기능 Anti.exe 악성코드에는 TCP, UDP, ICMP 프로토콜에대한공격기능이구현되어있음. <dos 패킷발생루틴예 >

6 감염 PC의파일시스템통제 ( 파일열람, 변경, 삭제 ) 공격자는감염PC 내의파일을열람하거나변경, 삭제할수있음. 원격네트워크로부터파일다운로드및실행 공격자는감염 PC 에공격자가원하는임의의파일을다운로드하여실행시킬수있음. 웹브라우져시작페이지변경공격자는웹브라우져의시작페이지를변경할수있음. 레지스트리생성및삭제레지스트리값을열람하거나생성, 삭제, 변경하는것이가능함.

7 프로세스생성및종료공격자는새로운프로세스를생성하거나종료시킬수있음. 감염PC 화면캡쳐공격자는원격에서감염PC의윈도우화면을캡쳐할수있음. 감염PC의서비스생성, 삭제, 수정감염PC 내에윈도우서비스를추가하거나, 삭제, 변경이가능함. 시스템정보파악현재의사용자계정확인, 프로세스정보, 디스크가용용량등시스템정보를확인할수있음.

8 4. DDoS 에악용된공격코드 Down(1).exe 분석 분산서비스공격트래픽을유발시켰던일부PC에서는 Anti.exe 외에도추가적으로 Down(1).exe 악성파일이발견되었다. 이코드도분산서비스거부공격기능이구현되어있는것으로확인되었으며, 자기전파기능이없는것으로보아, Anti.exe 악성코드에의하여추가적으로설치되었거나, 웹사이트등을통하여유포되었을것으로추정된다. o 분산서비스거부공격기능분석 - 원격통제기법이악성코드는 http 프로토콜을통하여특정웹사이트로부터공격대상사이트, 공격방법등에대한정보를전달받은후공격을시작한다. <Down(1).exe 에의한분산서비스거부 (DDoS) 공격 > 1 해당프로그램은공격자가구성한공격명령전달을위한웹사이트 ( 생략 ]/config.txt) 로부터공격명령이포함된설정파일을다운로드한다 2 Down(1).exe 는다운로드받은공격명령을확인하여명령파일에기록된주소로대량의패킷을발송한다. - 공격대상및방법변경

9 Down(1).exe는 생략 ]/config.txt 의 config.txt 파일내에기입되어있는주소와프로토콜을확인하여공격을진행하하므로, 공격자는해당내용을변경해가며, 공격대상및프로토콜을바꿀수있다. 공격대상주소변경예아래내용은공격자가 config.txt 를통하여공격대상을변경한예이다. 공격대상주소가 [ 생략 ].tk:80 에서 [ 생략 ].com:80 로변경. < 공격대상주소변경예 > [ 생략 ].tk:80 icmp 30 [ 생략 ].com:80 icmp 30 공격프로토콜변경공격명령파일에서두번째행의 icmp 부분은공격에사용되는프로토콜유형을나타낸다. 분산서비스거부공격 (DDoS) 테스트환경을구성하여공격명령파일내의 icmp 를 udp 로변경한경우아래와같이 UDP패킷을이용한공격형태가관찰되었다. <UDP로변경된공격프로토콜예 > < 공격패킷의내용예 > - 트래픽발생률분석감염된 PC에서공격프로토콜에따라다음과같은트래픽이관찰되었다. 아래악성트래픽발생수치는명령전달내용및환경에따라서달라질수있음. ICMP UDP TCP 4.0 Mbps 2.07 Mbps 1.87 Mbps

10 < 공격트래픽예 > < 공격패킷내용예 > < 악성코드에포함된 Garbage 문자열 (3,943 bytes) 일부 > o 기타기능 - 재부팅시계속적인활동을위한시스템등록악성코드는재부팅시에도계속적으로활동하기위하여시스템에자신을등록한다. 파일생성악성코드감염시, 감염파일을 %system% 폴더에 Down(1).exe이름으로이동시킨다. < 시스템디렉토리로이동시키는코드 >

11 %SYSTEM% 디렉토리 * Windows 2000 : C:\WinNT\System32 * Windows XP, 2003 : C:\Windows\System3 서비스등록프로그램은재부팅후지속적인활동을위하여이동한파일을서비스로등록시킨다. * 서비스이름 : Windows Catalog * 표시이름 : Internet Explorer * 실행파일경로 : C:\WINDOWS\system32\Down(1).exe - 서비스중단및삭제 공격자는 생략 ]/config.txt 의 config.txt 파일내용에아래와같은명령을기입하여악성코드가생성한서비스를삭제하거나중단할수있다. remove icmp 30 stop icmp 30 remove인경우 1 원격지에서공격명령파일을다운로드한후파싱 2 파싱한내용이 "remove" 인경우바로아래의서비스제어코드를수행

12 3 등록된 "Windows Catalog" 서비스및레지스트리를삭제 서비스삭제시 %SYSTEM% 디렉토리로이동된프로그램은삭제하지않음 stop인경우 1 원격지에서공격명령파일을다운로드한후파싱 2 파싱한내용이 "remove" 가아닌경우 3으로분기하여 stop" 인지를비교 3 stop" 인경우 "Windows Catalog" 서비스를중지 5. DDoS 공격대응조치 피해를예방하기위하여는분산서비스거부공격 (DDoS) 에악용되는악성코드의추가적인유포를차단하며, 이미감염된 PC에공격자가공격명령을전달하지못하도록조치하는것이중요하다. 인터넷침해사고대응지원센터에서는 DDoS에악용된악성코드의유포사이트와 DDoS을위하여접속하는명령전달서버를신속하게분석및추적하여차단 / 대응조치하였다. DDoS 공격에대한대응조치 - 국외명령전달서버및악성코드유포사이트에대한차단실시 - 국내악성코드유포사이트에대한조치및삭제실시등 (Anti.exe, down[1].exe 변종악성코드등 ) 6. 결론 인터넷통신망환경이데이터위주에서음성 (VoIP), 인터넷 TV(IPTV) 등통신과방송의융합이가능한 BcN(Broadband Convergence Network) 으로진화되고, 또한 PC성능이크게향상됨에따라, 최근일반PC를이용한분산서비스거부공격 (DDoS) 이인터넷망의안정성에커다란위협이되고있다. 국내의초고속인터넷환경은이미가입자단의속도가 100 Mbps를지원하는광 LAN 등이활성화되어있어서, DDoS 공격에악용될경우많은량의공격트래픽을발생시킬수있다. 인터넷침해사고가운데 DDoS 공격은그특성상, 효율적으로방어하기가매우어렵다. 최근 DDoS 공격은원격조종기능을가진특정악성 Code나악성 Bot으로인터넷이용자의 PC를감염시켜 Zombie PC로만들고해커가원격에서이를조종하는형태이다. 보안이취약한개별 PC에서발생된공격트래픽은마치개울물 시냇물 강물 바닷물이되는것처럼, 어느한곳에집중되었을때는이미감당하기어려울정도로발전하기때문에 바닷물 이되기전에 개울물 단계에서발생을차단하는것이가장효과적이라고할수있다. 이를위해서 개울물 을유발할수있는인터넷이용자의 PC를최신보안업데이트상태로유지하는것이무엇보다도중요하며, 각주체별로다음과같은예방및대응조치가필요하다. 첫째, 인터넷사용자는 PC를항상최신보안업데이트상태로유지하고 ( 가장중요 ), 백신 S/W, 개인방화벽 S/W를설치 운영함으로써, 자신의 PC가자신도모르는상태에서원격조종자의

13 지시에따라특정기업의서버를대상으로 DDoS 공격을발생, 개인정보유출, 스팸릴레이발송등침해사고에악용되지않도록주의해야한다. 또한 P2P 사이트등에서내려받은파일은설치된백신프로그램을사용하여안전성검사를반드시실시하여야한다. 둘째, ISP/IDC 및기업네트워크운용자는평시유효하지않은 IP주소 (Bogon IP) 및악성봇명령제어 / 서버도메인등에대한사전필터링조치로 DDoS 공격을발신지부터제거하는노력이필요하다. 또한 DDoS 공격발생시정보통신부, KISA 등유관기관에적극신고및협조하여 DDoS 공격의근원지및원격조종자 PC를찾아내어조치하는등신속히대응하여야하겠다. 셋째, IDC, 웹호스팅업체, 기업, 개인등웹서버운영자는이번아이템거래사이트에대한 DDoS 사례에서도보았듯이자신이운영하는웹서버가해킹되어악성코드를유포하거나 DDoS 공격관련스크립트전달경유지로악용되지않도록웹방화벽설치, 웹서버및운영체제에대한최신보안업데이트설치, 주기적인로그분석등을실시하여야하겠다. 마지막으로, 피해기업의네트워크및웹서버운영자는운용하는서버에서허용되지않는서비스를차단하기위한방화벽, 침입시도를탐지 차단하는침입방지시스템및 DDoS 차단시스템등을설치하여 DDoS 공격및침입시도에대한대응도필요하다. 아울러금품요구등협박이있을경우, 범인의계좌번호, 메신저 ID 등관련수사에도움이되는정보가있을것이므로반드시수사기관에신고하여범인검거에협조하는것도매우중요하다고하겠다.