<4D F736F F D20332E F5320BEC7BCBAC4DAB5E5BFA120B4EBC7D120BAD0BCAE20BAB8B0EDBCAD>

Size: px

Start display at page:

Download "<4D F736F F D20332E F5320BEC7BCBAC4DAB5E5BFA120B4EBC7D120BAD0BCAE20BAB8B0EDBCAD>"

세진 명
5 years ago
Views:

1 3.3 DDoS 악성코드에대한분석보고서 Rev. 4 이스트소프트알약보안대응, DB분석팀 ( 위험도아주높음영향받는 OS 윈도우계열 OS 확산도아주높음취약점이용 X 전용백신 1. 개요 3월 3일부터대대적으로 40여개의국내 외공공기관사이트들과인터넷쇼핑몰, 포털, 금융, 발전, 교통기관등을공격한 DDoS 사건을재조명해보고, 재발방지및앞으로의유사사건발생시조기차단을위한효과적인대안을모색해보려한다. 우선미국및국내사이트들의접속장애를초래한 DDoS 공격기법은분산서비스공격 (Distributed Denial of Service) 으로서버를직접적으로침입하여관리자권한이나정보를빼내는것이아니라해커의명령받아공격을수행하는대규모에이전트 ( 좀비 ) PC들이과도한특정명령을지속적으로피해대상으로보내서버나네트워크의자원을고갈시키는공격이다. 우리의실생활에서예를들자면, 하루평소 50명의고객요청을처리하는은행창구에고객이아닌사람들이 5000명이상몰려정상고객들이은행업무를볼수없도록은행창구를마비시키는것과비슷하다고할수있다. < 그림 1 : 일반적인 DDoS 공격수행의구조 > 페이지 1

2 일반적으로 DDoS는위의그림처럼다량의마스터 (Master) 서버들을거쳐수많은에이전트 ( 좀비 ; Zombie) PC들이피해대상으로일제히공격을수행하기다단계구조이기때문에공격을처음지시한해커를추적한다는것은매우어려운것이사실이다. 그렇기때문에수사기관에서도공격을처음지시한해커를검거한실제사례또한드물다. <3.3 DDoS 공격의특징 > 3월 3일에국내공공기관과포털, 금융기관을필두로 DDoS 공격을감행한이번사건을두고언론과많은보안전문가들이 3.3 DDoS 공격, 3.3 사이버테러 라고흔히부르고있다. 기존의 DDoS 공격들이흔히금전적목적으로보안시스템이열악한중소기업이나쇼핑몰들을 DDoS 공격으로정상적인영업을방해하고협박을통해금품을갈취하는것형태였으나이번 3.3 DDoS 공격또한누가어떤목적에서감행했는지정확히밝혀지지않았다. 특이할만것은이번 DDoS 공격이지난번 7.7 DDoS처럼국내웹하드를이용한점과 DDoS 대상리스트를비롯한공격시나리오들이매우유사하며, 하드디스크파괴기능 (msvcr90.dll 불필요등 ) 강화등여러문제점을보완한면이보이고있다. - DDoS 공격시간의다변화 7.7 DDoS의경우 3일에걸쳐하루에한차례공격하는형태였으나이번 3.3 DDoS의경우 3월 4일하루에만오전 10시 45분, 오후 6:30분 2차례 DDoS 공격을수행한만큼공격시간이다변화되었다. - DDoS 공격시작시간은있으나종료시간은없음 7.7 DDoS의경우공격시작시간과종료시간이명시되어있었지만 3.3 DDoS의경우공격시작시간만이존재한다. 종료시간이별도로없으므로치료되지않은감염 PC에서는지속적으로 DDoS 공격수행이가능하다. - 공격타켓들의조정이발생한나라당, 조선일보가제외되고디시인사이드새롭게추가, 대부분의미국관련사이트가제외등 (3.3 DDoS에는주한미군및전북군산에위치한미공군제8전투비행단만포함 ) - 악성코드제작자의전략변화및기능강화백신회사홈페이지의직접적인 DDoS 공격보다는감염 PC의 hosts 파일변조를통한백신의업데이트방해로악성코드제작자의전략이변화되었다. 7.7 DDoS에서는하드디스크파괴에서 msvcr90.dll(ms.net framework 구성파일 ) 이필요했지만이번 3.3 DDoS의경우이러한라이브러리가없이하드디스크가파괴 (MBR 영역부터 NULL 값으로 overwrite 시도 ) 되도록기능이더욱보강되었다. 공격대상이기록된 dat 파일의경우쉽게공격대상을파악하지못하도록난독화처리및서버들간의통신에서는암호화기법이적용되었다. 페이지 2

3 - 3.3 DDoS 악성코드파일들이더욱유기적이면서독립적인면을함께갖춤여러개의악성코드파일들이서로유기적으로잘작동하면서 DAT-DLL 파일간의참조관계가깨질경우바로독립적인파괴동작이수행되었다. 실예로, 하드디스크파괴를위해 noise03.dat에감염된시간이기록되며, noise03.dat 파일이삭제, 이동, 변조되는경우바로하드디스크파괴 (MBR 영역부터 NULL 값으로 overwrite 시도 ) 와파일손상을시작하게된다. - 악성코드의유포방식은 7.7 DDoS와같음 7.7 DDoS의경우국내웹하드서비스를통해악성코드가처음으로유포되었으며, 이번 3.3 DDoS의경우에도웹하드서비스를이용해유포되었다. HTTP, UDP, ICMP 여러프로토콜의패킷들을공격대상으로발송하게된다. HTTP Get Flooding과 CC(Cache Control) Attack 방식으로 DDoS을수행해 80 포트가오픈 (Allow) 된일반적인방화벽에서는차단이불가능하다. - 기타 1) 3.3 DDoS에서도실제공격 PC들의 IP들이변조 (Spoofing) 된것이아니라실제로존재하는 Real IP 이다. 2) 감염된 PC에서는악성코드가시스템자원을크게사용하지않아 PC 사용자의체감속도저하도크지않았다. 3) 7.7 DDoS와달리파일목록의외부유출, 스팸메일발송등의추가동작은없었다. <DDoS 공격대상종합리스트 - 국내 > 주소 이름 형태 korea.go.kr 대한민국전자정부 정부기관 cwd.go.kr 청와대 정부기관 fsc.go.kr 금융위원회 정부기관 kcc.go.kr 방송통신위원회 정부기관 mofat.go.kr 외교통상부 정부기관 mopas.go.kr 행정안전부 정부기관 unikorea.go.kr 통일부 정부기관 nts.go.kr 국세청 정부기관 police.go.kr 경찰청 정부기관 customs.go.kr 관세청 정부기관 mnd.mil.kr 국방부 국방 jcs.mil.kr. 합동참모본부 국방 army.mil.kr 육군본부 국방 navy.mil.kr 해군본부 국방 airforce.mil.kr 공군본부 국방 dema.mil.kr 국방홍보원 국방 dapa.go.kr 방위산업청 국방 페이지 3

4 assembly.go.kr 국회 입법기관 korail.com 한국철도공사 교통 khnp.co.kr 한국수력원자력 발전 kisa.or.kr 한국인터넷진흥원 정부관련 wooribank.com 우리은행 금융 kbstar.com 국민은행 금융 keb.co.kr 외환은행 금융 shinhan.com 신한은행 금융 nonghyup.com 농협 금융 hanabank.com 하나은행 금융 jeilbank.co.kr 제일은행 금융 daishin.co.kr 대신증권 금융 kiwoom.com 키움증권 금융 naver.com 네이버 포털 daum.net 다음 포털 hangame.com 한게임 IT업체 ahnlab.com 안철수연구소 IT업체 dcinside.com 디시인사이드 IT업체 gmarket.co.kr 지마켓 쇼핑몰 auction.co.kr 옥션 쇼핑몰 <DDoS 공격대상종합리스트 - 해외 > 주소 이름 형태 usfk.mil 주한미군 국방 kunsan.af.mil 미공군제8전투비행단 ( 군산 ) 국방 2. 감염증상 2-1) 시스템측면 - 시스템폴더 (System32) 에공격리스트가포함된추가적인악성코드파일을설치한다. (Ntgg55.dll, Noise03.dat, Ntcm63.dll, Tljoqgv.dat, Tlntwye.dat, Svki65.dll, Rtdrvupr.exe, Host.dll, Faultrep.dat, mxxxsvc.dll, wxxxsvc.dll, sxxxsvc.dll xxx : 임의의알파벳 3글자 ) - Host 파일을변조하여백신의정상적인업데이트를방해한다. - 윈도우시작시실행되게하기위해호스트서비스레지스트리에추가 HKLM\SYSTEM\CurrentControlSet\Services\ - noise03.dat의감염날짜를기준으로 PC에감염된후 4일 ~7일이지나거나 (3월 6일변종은즉시파괴 0일로설정 ) noise03.dat 파일이열리지않거나삭제된경우, 현재시스템날짜가 noise03.dat 날짜보다이전인경우하드디스크의모든섹터들을파괴한다. (MBR 영역부터 NULL 값으로 overwrite 시도 ) 예외적으로 C&C 서버에서파괴명령이하달된경우즉시파괴동작을수행한다. - 특정문서파일및압축파일, 소스코드파일을 NULL 값으로 overwrite하고임의 (random) 의 8자리암호로파일을압축해원본파일을삭제시킨다. ( 파일복구불가능 ) 페이지 4

2-2) 네트워크측면 - C&C 서버에접속해추가적인악성코드와명령을내려받는것으로추정된다. - HTTP, UDP, ICMP 프로토콜을이용한 DDoS 공격패킷 (Packet) 을발송한다. <C&C 서버 IP 주소리스트 > 서버 IP 주소 국가 서버 IP 주소 국가 173.18.37.158 미국 212.102.5.42 사우디아라비아 200.132.59.

5 2-2) 네트워크측면 - C&C 서버에접속해추가적인악성코드와명령을내려받는것으로추정된다. - HTTP, UDP, ICMP 프로토콜을이용한 DDoS 공격패킷 (Packet) 을발송한다. <C&C 서버 IP 주소리스트 > 서버 IP 주소 국가 서버 IP 주소 국가 미국 사우디아라비아 브라질 사우디아라비아 미국 대만 미국 대만 세르비아 미국 미국 러시아 이란 미국 포르투갈 남아프리카 이탈리아 미국 오스트레일리아 (AU) 러시아 슬로바키아 대만 인도 미국 미국 베트남 일본 벨기에 3. 감염및전파방법 3-1) 영향받는 OS : 윈도우계열 (3.3 DDoS의하드디스크파괴는.net framework가설치되지않은 PC에서도동작가능 ). 3-2) 감염및전파방법악성코드제작자는국내웹하드사이트의업데이트서버를해킹하여 3.3 DDoS 관련악성코드파일을올려놓았고, 웹하드이용자들이웹하드업데이트로파일을내려받을때악성코드가함께설치되어 DDoS 공격을실제로수행하게되는좀비 PC가된다. 이외에도첫 PC에감염된후다른 PC로의추가전파기능은없는것으로보여진다. 현재까지알려진 3.3 DDoS 악성코드파일을유포한국내웹하드사이트는 5 개이다. 쉐어박스, 슈퍼다운, 파일시티, 보보파일, 지오파일 페이지 5

6 4. 파일및진단정보 번호파일이름진단명크기 Hash (MD5) 1 Ntgg55.dll Trojan.Dropper.Agent.nth ost 124KB F65C5297B0E4F06A4B Rtdrvupr.exe Trojan.Agent.hosts 16KB D15E188501ACC67FD4D0D7699EC7B102 3 SBUpdate.exe Trojan.Downloader.Agent.33D 12KB A411B944AF23D28D636A0312B5B705DE 4 Ntgg55.dll Trojan.Dropper.Agent.nth ost 124KB E82313DD99D4AAEC6F4DC9DB4C7BF6EC 5 Rtdrvupr.exe Trojan.Agent.hosts 16KB 13BAFD5001AAE9B079480D C36 6 SBUpdate.exe Trojan.Downloader.Agent.33D 12KB 4551CEBFD3340E744828EEAB9CA076D9 7 Faultrep.dat V.BKD.DllBot.gen 4KB CF8C47C C9106A131647B Filecity.exe Trojan.Downloader.Agent.33D 20KB DE905320DA5D260F7BB880D1F7AF8CEC 9 Host.dll Trojan.Dropper.Agent.nth ost 116KB 133D384459ED020B BA70FE7B1 10 Mdomsvc.dll Backdoor.Dllbot.gen 72KB AE0D2FA A37DF97B94024D Meitsvc.dll Backdoor.Dllbot.gen 72KB A63F4C213E2AE4D6CAA85382B65182C8 12 Noise03.dat V.BKD.DllBot.gen 4KB 561DAC7D20A488317C62ED38A Ntcm63.dll Trojan.Dropper.Agent.nth ost 128KB F1EC5B570351DB41F7DD4F925B8C2BA7 14 Setup_bobofil e.exe Trojan.Downloader.Agent.33D 12KB AE1D2CB86364E27A759D ED Sfofsvc.dll Trojan.Agent.docCrypt 48KB C963B7AD7C7AEFBE6D2AC14BED316CB8 16 Ssaxsvc.dll Trojan.Agent.docCrypt 48KB C491C CB3906D298B63B 17 Tljoqgv.dat V.BKD.DllBot.gen 16KB 1BE4CCA010AE2D1F6C6926EC623D2C6C 18 Tlntwye.dat V.BKD.DllBot.gen 4KB D1170FE4E3658E95EC04AB9C0A9B5F64 19 Wricsvc.dll Backdoor.Dllbot.gen 44KB EDA EEDD080988AD0BA63C Wsfcsvc.dll Backdoor.Dllbot.gen 40KB 0A21B996E1F875D740034D250B SBUpdate.exe Trojan.Downloader.Agent.33D 12KB 7E22F5347C3F8B424EA49EB40193F zxcvb.exe Trojan.Dropper.Agent.nth ost 24KB 556B0F5E9D6E61DCF0914E1B0CE SBUpdate.exe Trojan.Downloader.Agent.33D 12KB 5EA379F B243A8FDEAAB Svki65.dll Trojan.Dropper.Agent.nth 76KB B4175B99140EEE4868DEDFBB04 페이지 6

7 ost 25 Newsetup2.ex e Trojan.Downloader.Agent.33D 28KB 59034BDB4DEB4BF2E5D D6E3B6 26 Messsvc.dll Backdoor.Dllbot.gen 72KB 6B0D5B1225A6BBBA FDD3CC4F 27 Wtvtsvc.dll Backdoor.Dllbot.gen 36KB 9EF7C717BA856EC760D6A62FFC05F Setup.exe Trojan.Downloader.Agent.33D 16KB D7AEE492AC8253DFB05F8DC08C6660F2 29 Muropc.exe Trojan.Agent.hosts 16KB 0A11609E B0FA285DA5A29EF 30 Muropc.dll V.BKD.DllBot.gen 5KB 88E2F0CA1BED4FEAB764B7BEC703C7E8 31 muropc.exe Trojan.Agent.docCrypt 60KB 53B8E4FB77FDB70A4D59EC903C xmldproc.dll Trojan.Agent.docCrypt 24KB E92D5533B226532F84D8876ABFE959FE 33 setup.exe Trojan.Downloader.Agent.33D 16KB 64FF3D3C000F657489CC03DF13DB Tljoqgv.dat V.BKD.DllBot.gen 1KB E8374D1F7944DC56E8D3B6331AED093B 4-1) 3.3 DDoS 악성코드전체관계도 페이지 7

8 4-2) SBUpdate.exe (Trojan.Downloader.Agent.33D) - Main Downloader 다운로더 (Downloader) 타입의악성코드로 C&C 서버에접속하여감염 PC의이름과도메인정보를유출시키게되며, Dropper 악성코드와경유지목록을다운로드받게된다. 만약, C&C 서버접속에실패할경우리스트에있는모든 C&C 서버에순차적으로접속을시도하게된다. 마지막으로 Batch 파일의추가생성을통해 SBUpdate.exe 자기자신을삭제하여악성코드분석가의추적을어렵게만들고있다. <SBUpdate.exe 악성코드의동작구조 > 4-3) host.dll (Trojan.Downloader.Agent.nhost) - Dropper Host.dll or ntxxxx.dll은 3개의 DLL 파일과 4개의 DAT 파일을 Drop 시키는역할을수행한다. (Host.dll의 ntxxxx.dll 차이점은 rtdrvupr.exe 파일의추가파일 Drop 여부에따라달라짐 ) Drop된 DLL 파일들은 System32 폴더에위치하게되며, 임의의알파벳 3글자가추가되어최종파일이름이결정된다. 또한 DLL 파일들이윈도우서비스로동작하도록레지스트리에정보를추가시킨다. DAT 파일의경우 DDoS 공격, 하드디스크및파일파괴와관련된정보등이포함되어있다. HKLM\SYSTEM\CurrentControlSet\Services\mxxxsvc ( 임의의알파벳 3글자 ) HKLM\SYSTEM\CurrentControlSet\Services\wxxxsvc ( 임의의알파벳 3글자 ) HKLM\SYSTEM\CurrentControlSet\Services\sxxx.svc ( 임의의알파벳 3글자 ) < 레지스트리에추가되는 DLL 파일정보 > 마지막으로 Batch 파일의추가생성을통해 Host.dll or ntxxxx.dll 자기자신을삭제한다. 페이지 8

$먼저, C:\Windows\system32\drivers\etc\hosts 파일의숨김 (Hidden) 속성을해제한후변조할 hosts 파일을 C:\Documents and Settings\( 사용자이름 )\Local Settings\Temp 폴더에 15.tmp로복사한다.$

9 <Host.dll or ntxxxx.dll 악성코드의동작구조 > 4-3) rtdrvupr.exe (Trojan.Agent.hosts) Ntxxxx.dll이 Drop한 rtdrvupr.exe 파일은감염 PC의 hosts 파일을변조해백신의 (V3, 알약 ) 정상적인업데이트를방해하는것이주목적이다. 먼저, C:\Windows\system32\drivers\etc\hosts 파일의숨김 (Hidden) 속성을해제한후변조할 hosts 파일을 C:\Documents and Settings\( 사용자이름 )\Local Settings\Temp 폴더에 15.tmp로복사한다. C:\Windows\system32\drivers\etc\hosts 파일의내용을지우고 15.tmp 파일의내용을 hosts 파일에복사한다. ( 하드코딩된문자열을 %s( 도메인 ) 형식으로저장 ) 페이지 9

10 explicitupdate.alyac.co.kr gms.ahnlab.com ko-kr.albn.altools.com ko-kr.alupdatealyac.altools.com su.ahnlab.com su3.ahnlab.com update.ahnlab.com ahnlab.nefficient.co.kr [ 변종추가내용 ] download.boho.or.kr < 악성코드가 host 파일변조로백신업데이트를차단시키는주소들 > < 실제변조된 hosts 파일내용 > 페이지 10

4-4) mxxxsvc.dll (Backdoor.DllBot.gen) Host.dll or ntxxxx.dll ( 예 : ntcm63.dll) 이추가로 Drop한 mxxxsvc.dll( 예 : Mdomsvc.dll) 은백신프로그램의진단우회와분석가의분석을어렵게하기위해사용하는문자들이 AES로암호화되어있다. 또한자신이사용할 API를실행할때재구성하여실행하게한다.

11 4-4) mxxxsvc.dll (Backdoor.DllBot.gen) Host.dll or ntxxxx.dll ( 예 : ntcm63.dll) 이추가로 Drop한 mxxxsvc.dll( 예 : Mdomsvc.dll) 은백신프로그램의진단우회와분석가의분석을어렵게하기위해사용하는문자들이 AES로암호화되어있다. 또한자신이사용할 API를실행할때재구성하여실행하게한다. ntxxxx.dll ( 예 : ntcm63.dll) 에서함께 Drop된 faultrep.dat (Bot 설정파일 ) 파일을열어내부에저장된 C&C 서버로추정되는 IP 주소에접속을시도한다. ( 현재는서버접속불가 ) (IP 어드레스 4 바이트와포트 2 바이트로구성 ) <mxxxsvc.dll 악성코드의동작구조 > C&C 서버로추정되는 IP에접속되면암호화된패킷을주고받아패킷에지정된명령에따라 C:\Windows\NLDRV\111이나임시폴더에또다른악성코드를추가로다운로드받아실행할수있다. 페이지 11

12 4-5) sxxxsvc.dll (Trojan.Agent.docCrypt) sxxxsvc.dll은특정파일및하드디스크파괴를담당하는파일로아래의어떠한조건이라도충족된다면특정확장자파일및하드디스크의파괴쓰레드 (Thread) 가실행되게된다. 1) DAT 파일이없거나열리지않을때 (noise03.dat는감염시간이기록되어있음 ) 2) 설치 ( 감염 ) 일자보다현재시스템날짜가작을때 3) 현재시스템날짜가악성코드가설치된날짜와지정된일자를더한값보다큰경우 ( 즉시파괴는 0일, 쉐어박스유포경우는 7일, 슈퍼다운경우는 4일후파괴로설정 ) <sxxxsvc.dll 악성코드의동작구조 > 특정파일에대한파괴는모든폴더를검사하여특정조건의확장자의파일내용을 Null 문자열로채운후임의의 8자리암호를생성하여암호가걸린 CAB 파일로교체한다. 페이지 12

13 < 원본정상파일 ( 위 ) 및악성코드에의해파괴된후 ( 아래 )> 악성코드에의해파괴된파일은원천적으로복구가불가능하다..doc.docx.wpd.wpx.wri.xls.xlsx.mdb.ppt.pptx.pdf.hwp.hna.gul.kwp.eml.pst.alz.gho.rar.php.asp.aspx.jsp.java.cpp.h.c.zip 총 29종 < 악성코드가파괴하는파일들의확장자리스트 > 페이지 13

$C 드라이버 (\\.\PhysicalDrive0) Offset = 0 에파일포인트를생성하여 0x400000 byte 씩 100000번을반복해 NULL 문자열로덮어쓴다.$ < 정상적인 MBR( 좌 ) 영역과악성코드에의해 NULL 로 Overwrite 된 MBR 영역 ( 우 )> < 악성코드의해파괴된하드디스크는정상적인부팅이불가능함 > 7.

< 정상적인 MBR( 좌 ) 영역과악성코드에의해 NULL 로 Overwrite 된 MBR 영역 ( 우 )> < 악성코드의해파괴된하드디스크는정상적인부팅이불가능함 > 7.

14 C 드라이버 (\\.\PhysicalDrive0) Offset = 0 에파일포인트를생성하여 0x byte 씩 번을반복해 NULL 문자열로덮어쓴다. ( 하드디스크파괴시작 ) 악성코드에의해파괴된시스템또한일반사용자가복구하기매우어렵다. < 정상적인 MBR( 좌 ) 영역과악성코드에의해 NULL 로 Overwrite 된 MBR 영역 ( 우 )> < 악성코드의해파괴된하드디스크는정상적인부팅이불가능함 > 7.7 DDoS의경우하드디스크의 MBR 영역만파괴했고 Memory of the Independence day 메시지가있었지만이번경우특정한메시지가없는 NULL 값이며, 하드디스크의상당수섹터가 Overwrite 되어정상적인복구가더욱어려워질것으로판단된다. 페이지 14

15 <7.7 DDoS 악성코드에의해파괴된하드디스크 MBR 영역 ( 비교용 )> 4-6) wxxxsvc.dll (Backdoor.Dllbot.gen) wxxxsvc.dll은윈도우서비스로실행되며, 실제 DDoS 공격을담당하는파일이다. 최종 DDoS 공격시작을위해서는 tlnywye.dat, tljoqgv.dat 파일이필요하게된다. <wxxxsvc.dll 악성코드의동작구조 > tlntwye.dat 파일이로드되면 GetSystemTime 함수를이용해현재시간을저장하고연도를 2011로맞춘다. 이후 tlntwye.dat에저장된공격시간과의현재시간과비교를통해공격시간이현재시간보다작으면다음루틴으로넘어가게되며만약지나지않았다면 1분간반복적으로공격시간과재비교를시도하게된다. ( 다음루틴으로넘어갈때는 tlntwye.dat파일을삭제한다.) 페이지 15

16 현재까지수집된샘플의 DDoS 공격시간을확인해보면아래와같다. 참고로, 추가접수된변종샘플의경우한국시각기준 5일오전 8시도새롭게추가되었으며, DDoS 공격시간및공격타켓이지정된파일이름이달라졌다. ( 공격시간 : tlntwye.dat dasrrvm.dat, 공격타켓 : tljoqgv.dat doqmcru.dat) 4일 10시 00분, 18시 30분 5일 13시 51분 5일 08시 00분 ( 추가접수된변종파일 ) 공격시간이되면도매인정보를포함한 tljoqgv.dat 파일을메모리에로드한다. 페이지 16

17 메모리에로드된내용은난독화가되어있으며, 복호화루틴을따라다시메모리에저장된다. 복호화를통해생성된 DDoS 공격대상주소는 1차 40개, 2차 29개추가접수된변종샘플의경우 2개를확인할수있었다. 이후에는해당도메인주소정보를바탕을스레드를다수생성하여 DDoS 공격을시도한다. 페이지 17

18 생성된스레드는다시랜덤한방식의패킷을만들어외부접속을시도하게된다. 다음은패킷을만들어 send 를통해 발송한내용이다. 공격에사용하는프로토콜도 UDP, HTTP, ICMP 등으로임의선택된다. 5. 치료및제거방법 3.3 DDoS 악성코드들은알약과전용백신에서모두진단및치료가가능합니다. < 알약에서의치료방법 > 1 바탕화면이나시작메뉴에서 알약 을실행합니다. 2 정밀검사 버튼을눌러디스크전체를검사합니다. 페이지 18

19 3 전체디스크검사가진행됩니다. 4 악성코드가발견되면 치료하기 버튼으로감염파일들을모두치료합니다. 기타 ) - 악성코드가잘치료되지않을경우윈도우를 안전모드 로부팅하여다시치료합니다. ( 윈도우로고가나오기전컴퓨터부팅화면초기에 F8 버튼을눌러 " 안전모드 " 를선택하면안전모드로부팅됩니다.) 페이지 19

< 전용백신에서의치료방법 > 1 알약홈페이지 (http://www.alyac.

20 < 전용백신에서의치료방법 > 1 알약홈페이지 ( 에서전용백신을다운로드받습니다. 2 전용백신에서 검사 버튼을눌러디스크전체를검사합니다. 3 검사가완료되면 치료 버튼을눌러전체감염파일들을제거합니다. 기타 ) - 검사를도중에취소할경우 중지 버튼을클릭합니다. - 악성코드가잘치료되지않을경우윈도우를 안전모드 로부팅하여다시치료합니다. - 전용백신은실시간감시가제공되지않으며, 3.3 DDoS 관련악성코드만을진단및치료할수있습니다. 페이지 20

하드디스크의상당수섹터가특정한메시지가없는 NULL 값으로 Overwrite 되므로정상적으로부팅이되지않습니다. 현재까지 3.

21 < 부팅이되지않는 PC의경우의복구방법 > 3.3 DDoS 악성코드에감염된후 4일혹은 7일이경과하거나 Noise03.DAT 파일을삭제한경우, C&C 서버의즉각파괴명령을받은 PC에서하드디스크파괴가시작됩니다. 하드디스크의상당수섹터가특정한메시지가없는 NULL 값으로 Overwrite 되므로정상적으로부팅이되지않습니다. 현재까지 3.3 DDoS에의해파괴된하드디스크을복구할수있는효과적인방법은없으며, 윈도우재설치및백업파일로복원해야합니다. < 정상적인하드디스크 MBR> < 감염후하드디스크 MBR 이파괴된상태 > < 하드디스크 MBR 이손상되어부팅이되지않는상태 > 페이지 21

22 < 감염 PC내의압축파일복구방법 > 이번악성코드는 29종의파일에대해압축을수행하며, 압축파일 (CAB) 로생성된것들은이미원본을손상시키고난후이기때문에임의의 8자리로설정된암호를해제하더라도복구는원천적으로불가능합니다..doc.docx.wpd.wpx.wri.xls.xlsx.mdb.ppt.pptx.pdf.hwp.hna.gul.kwp.eml.pst.alz.gho.rar.php.asp.aspx.jsp.java.cpp.h.c.zip 총 29종 < 악성코드가파괴하는파일들의확장자리스트 > 페이지 22

Contact us 이스트소프트알약보안대응팀 Tel : 02-881-2364 E-mail

23 Contact us 이스트소프트알약보안대응팀 Tel : help@alyac.co.kr : 알약사이트 : 페이지 23

1

3.3 DDoS 분석보고서 2011.03.04 잉카인터넷 시큐리티대응센터 1. 분석개요 1.1. 목적 2011 년 3 월 3 일접수된 DDoS 악성샘플에대한분석을수행합니다. 1.2. 분석환경 :: Windows XP SP3 Kor 1.3. 분석에사용된프로그램 :: Process Explorer :: Tcpview :: Ollydbg 1.4. 패턴버전및업데이트로그