<4D F736F F F696E74202D205BBCBCB9CCB3AA325DC0AFC7D8C6AEB7A1C7C8C0C7BFF8C0CEB0FAB4EBC0C0C3A52E707074>

Size: px

Start display at page:

Download "<4D F736F F F696E74202D205BBCBCB9CCB3AA325DC0AFC7D8C6AEB7A1C7C8C0C7BFF8C0CEB0FAB4EBC0C0C3A52E707074>"

정산 근
5 years ago
Views:

1 유해트래픽의원인과대응책 2003 년 06 월 18 일 시큐아이닷컴엔지니어링센타팀장윤덕상 CISA/CISSP

2 목차 유해트래픽의출현배경 1.25 인터넷대란 Review 적을알고나를알자! 유해트래픽대응방안

3 유해트래픽의출현배경 유해트래픽출현과정 공격기법의다양화 가용성에대한위협 유해트래픽으로의발전

4 유해트래픽출현과정 현재는 5 세대에서 6 세대로변화하는과정중에있으며, 1) 해킹기법의다양화 ( 수동 자동 ), 2) 서비스가용성에대한위협증대 3) 유해트래픽폭증을주요특징으로한진화가진행중 1 세대 2 세대 3 세대 4 세대 5 세대 6 세대 Command 조합에의한해킹 Programming 에의한해킹 Password 수작업추측 Password 자동추측 File Permission (setuid) Configuration Error Sniffing Spoofing Buffer Overflow Format String Worm P2P messenger Attack Wireless Attack Environment Variable Error DoS Distributed DoS Advanced Kernel Backdoor Scanning Application Backdoor Kernel Backdoor Web Attack DB Attack? Virus Window Trojan

5 공격기법의다양화 과거시스템과네트워크에대한지식이풍부한사람만이가능했던해킹이자동화툴 (Back Orifice, Daemon Tool 등 ) 의등장으로일반인으로까지확산되고있고, 과거의해킹기법이사라지고새로운해킹기법이등장하는개념이아닌, 과거의해킹기법이존재하는가운데이를한단계발전시킨형태의해킹기법의출현으로, 미래에는시스템및네트워크단의해킹기법이수천종에이를것으로예상 Informational Warfare Hacking, Password Cracking Malicious Software, Virus Trojan horses, Worm, Hoax, Logic bomb Social Engineering, Disaster Network Analysis, Eavesdropping Traffic Analysis, Brute-force Attack Masquerading, Packet Replay, Message Modification Unauthorized Access Denial of Service Dial-in penetration attack(war dialing) bomb, Spam mail, Spoofing

6 가용성에대한위협증가 과거의해킹이허가되지않는네트워크ㆍ시스템으로침입하여데이터의절취, 변조가목적이었지만, 현재에와서는네트워크ㆍ시스템의기능을마비시켜서비스자체에위협을가하는형태로발전 ( 예 : 1.25인터넷대란 ) 국가시스템 ( 국방ㆍ공공ㆍ금융ㆍ통신 ) 전반이정보인프라에의존하는현재의추세라면이에대한피해규모는최소수천 ~ 수조원규모에이를것으로예상 [ 통신네트워크 ] [ 공공네트워크 ] [ 금융네트워크 ] [ 국방네트워크 ]

7 유해트래픽으로의발전 날로고도화되고있는네트워크성능에대비하여, 이를역이용한수만종에이르는컴퓨터바이러스의확산, 각종스팸메일및불법자료전송, 불법사이트접속등에의한피해규모는이미수조원대의경제적피해를입히고있음. 1.25인터넷대란의원인이되었던 Slammer Worm 해외망 DNS Server 국내기간망백본 (ISP) ADSL 가입자 전용선사용자 기업사용자 IDC 발신자를수신자로위장한성인사이트스팸메일예

8 1.25 인터넷대란 Review SQL Slammer Worm 피해지역 1.25 대란의진행과정 1.25 대란시국내피해확대원인 SQL Slammer Worm의확산속도 1.25 대란의교훈

9 SQL Slammer Worm 피해지역

10 1.25 대란의진행과정 해외망 DNS Server 국내기간망백본 (ISP) NAS NAS DSLAM DSLAM ADSL 가입자 전용선사용자 기업사용자 IDC

11 1.25 대란시국내피해확대원인 전세계 IP 블록중국내에할당된 IP 주소는 0.6%(2 천 6 백만 ), 다른용도로사용되는멀티캐스트 IP 용 6.2% 를제외하면, 확률적으로슬래머웜의공격패킷중 93.2% 가국외로발송되어해외관문지점의병목현상이발생 구분 한국 미국 할당된 IP 일본 중국 다른용도 ( 사설, 시험 ) 미할당 IP IP( 천개 ) 26,208 1,240,314 95,166 29, ,857,257 비율 (%) CAIDA Release (FEB 4) By passively monitoring traffic, Globally, the Slammer Worm attacked 75,000 systems. Some 8,800 Korean System were affected, accounting for 11.82% of the systems attacked globally.

12 SQL Slammer Worm 의확산속도 10 분만에전세계 75,000 대이상의컴퓨터감염 3 분만에전세계 IP 지역 Scanning 가능 > 55,000,000 IPs/s 매 8.5 초마다공격지역 2 배씩확장 Local 영역감염시간 < 1 분내가능

13 1.25 대란의교훈 인식의변화필요 모두가피해자이면서가해자? 나는피해자다!!!!!!! 천만에..

14 1.25 대란의교훈 전역방어전략필요 지역보호가아닌전역방어전략필요 더이상나홀로잘하는보안은의미가없다. 감염차단및정보보호목적은 달성하였으나테러영향을피해 갈수없었다!!!!!!!

15 1.25 대란의교훈 새로운개념의보안장비필요성증가 보안장비의역할및활용방법재정립필요 방화벽 : 시키는일만하다못견디면죽는다? 사전감시, Traffic Shaping, Session Shaping 기능요구 IDS : 혼자서는아무일도못하는보석가게의 CCTV 이다? Unknown 공격판단및차단기능요구 ESM : 전원뽑힌영사기 (?), 넌뭐했니? 사전감시기능및조기경보체계확보요구 공격 Traffic 과분리된안전한감시망요구 Anti-Virus : 혼자서다하는척한다? 치료기능이외에 Patch 진단, 배포등예방기능요구 최종대안이므로근본적인차단대책우선필요

16 1.25 대란의교훈 조기경보및대응체계구축필요 비상대응및사전감시체계구축필요 방화벽, IDS 는보호해야할대상및목적이명확한곳에서필요한보안장비이다. 백본망에서는무엇을차단하고무엇을허용해야할지판단이불가능하며차단할권리도없기에공격의발생을근본적으로차단할수없다. 하지만백본망서비스의기본취지인가용성을최대한보장해야하며다수의사용자에게피해가예상되는위협에즉시대응할수있는체계를갖추어야한다. 이를위해백본망에는사이버공격에대한방어의개념과발생지역을즉시고립시키고피해의확산을지연시키기위한트래픽댐 (Blocking Sensor) 의개념을도입해야한다. 비상대응체계 피해지역을즉시고립시키고피해서비스를차단할수있는중앙통제식네트워크차단시스템구축 (Blocking) 단기구축 사전감시및조기경보체계 공격징후를실시간파악하고위험경보를즉시전파할수있는사전감시시스템구축 (Sensor) 장기구축

17 1.25 대란의교훈 네트워크운영의구조적문제해결필요 네트워크및 DNS 의구조적문제점개선 Local 망 ISP 망 국가기간망 국제망으로의도미노식피해확산방지대책필요 Default Routing 경로에대한 Traffic 분산및다중경로대책수립 DNS 서버운영대책수립필요 전국적인사용자를보유한 DNS 서버의경우지역분산정책수립 주요 Domain 의삭제및변경시 DNS 운용자간상황교환필요 Log 관리체계정비필요

18 적을알고나를알자! Computer Worm이란무엇인가? 왜 Worm이위험한가? 지금까지출현했던주요 Worm들 공격자들이 Worm을좋아하는이유 Worm이노리는주요공격대상 Worm이선택할수있는확산방법 확산방법분석

19 Computer Worm 이란무엇인가? 자기복제형네트워크프로그램 원격컴퓨터감염을목적으로취약점공격 감염된서버들이또다른서버를공격 3 가지공격단계 새로운공격목표탐색목표발견시공격코드전파피해시스템내공격코드실행 Network 최초공격이후사람개입불필요 Autonomous worms

20 왜 Worm 이위험한가? 사람이대응할수있는시간보다빠르다 Code Red : 13 시간만에전세계감염 SQL Slammer Worm : 10 분만에전세계감염 기술발전에따라얼마든지더빠른 Worm 출현가능 Worms 에는매우위험한 Payload 내장 DDOS (Distributed Denial of Service) Attacks Internet scale espionage Data corruption BIOS reflashing Graph from David Moore's analysis (caida.org

21 지금까지출현했던주요 Worm 들 Worm 년도유형피해 기타 Morris 1988 Topological 6000 최초의지능형 Worm 여러가지취약점공격이용전파 Code Red 2001 Scanning ~300,000 최초로빠른전파속도를갖음 CRClean 2001 Passive none Anti-Code-Red worm. Nimda 2001 Scanning Others ~200,000 Local subnet scanning. 여러가지기능을효과적으로조합 Scalper 2002 Scanning <10,000 취약점발견뒤 10 일만에출현 Slapper 2002 Scanning 13,000 Scalper Code 의변형 Sapphire (Slammer) 2003 Scanning >75,000 10분만에전세계전파가장빠른전파속도를자랑

22 공격자들이 Worm 을좋아하는이유 Worm 은가장효과적인공격수단 한번에모든취약한시스템들을공격할수있다. 기존공격에비해추적이어렵다. Worm 은제작이간편 전파코드가정형화되어있으며재사용가능공격 + 전파 Payload내에는전파기능과무관한코드내장가능 취약점발견후 10 일만에출현기록 (Scalper) 최근의기술로는 1일이내에 Worm 제작가능 Smart attacker라면당일날 Worm 제작도가능할것아직까지알려지지않은취약점을이용할수도있음.

23 Worm 이노리는주요공격대상 주요대상 : 사용자가많은유명한네트워크프로그램이나운영체제 Slammer Worm를기준으로취약시스템이 20,000대이상이면전세계장악가능주요공격대상후보 Windows 운영체제나기본프로그램의취약점 (CIFS등) 50,000,000 이상 P2P 프로그램 (edonkey, WinMX, KaZaA, 소리바다등 ) 5,000,000 이상 Web Server & Service Program 3,000,000 이상 기타 Game Server 및응용프로그램 20,000 이상 Home Machines Firewall Corporate Corporate Intranet Intranet The Internet The Internet Webservers Game Servers, Halflife: 20,000 Web Servers, IIS/Apache: 3,000,000 P2P, KaZaA: >5,000,000 File Sharing, CIFS: 50,000,000?

24 Worm 이선택할수있는확산방법 Scanning : Random 한목표선택가장일반적, 하지만속도가늦음 Metaserver : 외부서버로부터공격 List 수집빠름, Application 에의존적 Hitlist & Flash : 사전제작된공격 List 보유빠름, 사전목표수집기간필요 Topological : 감영서버로부터공격목표수집빠름, Application 의존적 Passive : 접촉감염 ( 스스로전파능력없음 ) 속도가느림, 하지만탐지가어려움외부의 Event 의도움으로전파 Speed Scanning Metaserver Flash Topological Passive 여러종류가복합된 Worm 출현가능 Target Selection Network Stealth

25 확산방법분석 Scanning Worms 무한반복형공격 Random Address 를취함해당서버가취약하면감염 구현이매우간단함대부분의코드가정형화되어있음 속도 (K) 결정항목 Rate of scanning Number of vulnerable machines Size of address space K = Scan Rate * Vuln Machines Address Space Size 초기감염이후기하급수적확산이미공격된서버에대한중복공격등으로효율감소

26 확산방법분석 Scanning Worms 변형 Local subnet scanning Local 지역의취약서버를우선공격 Code Red Ⅱ, Nimda Firewall 등의차단고려 More Populated Addresses 우선공격 scalper & slapper Scan over-head 를줄임 IP Class 단위 Scanning(/24s) Scalper & Slapper Routing-related Cost 를줄임 Bandwidth-limited scanner SQL Slammer Scanning 속도를빠르게함

27 확산방법분석 Bandwidth Limited Scanning Code Red 의 Scan 방식은 Latency-limited 방식 Thread 단위 : SYN Packet 을 Random 주소로보내고 Response 나 Timeout 을기다림 Code Red Scanning 속도 : ~6 scans/second, 피해지역이 2 배가되는데 40 분이소요 Slammer 의경우 Bandwidth-limited 방식 UDP 패킷사용 (Connetion Overhead 없음 ) 1 Mb bandwidth 280 scans/second 100 Mb bandwidth 28,000 scans/second 작은 Size 로제작된 TCP Worm 의경우도 Slammer 와같은속도로전파될수있음. SYN 패킷을 Line Speed 로보내고 ACK 패킷을다른 Thread 가처리하도록할경우

28 확산방법분석 Metaserver Worms 제 3 지역의서버로부터공격목록수집 Games 서버이용 : 게임상대자정보수집검색엔진이용 : Web 서버들의정보수집 Windows Active Directory: Network Neighborhood 정보수집 Metaserver Server Server Server Server 이방법이효과적인이유 Active 된서버에대한정보수집가능각각의감염시스템이정보수집에동원 Divide-and-Conquer 전략활용 아직까지발견되지는않음 100% Server Server Server Server Percent Infected 80% 60% 40% 20% No Acceleration Metaserver Acceleration 0% Time (Hours)

29 확산방법분석 Hitlisting & Flash Worms 취약한서버들의공격리스트를가지고공격시작 divide-and-conquer 공격전략 : O(lg(n)) time Scanning Worm보다훨씬빠른공격가능대상서버를모두공격하는데 1분미만소요 (Flash Worm) Hitlist는완벽하게정확할필요는없음 원시적인생각임에도아직까지발견안됨 취약서버정보를수집해야하는문제점이있음 100% Percent Infected 80% 60% 40% 20% 0% no hitlist 5000 machine hitlist Time (Hours)

30 확산방법분석 Topological Information 새로운공격목표를감염서버내에서찾음 감염서버내 DISK나 Cache로부터 URL정보획득 Mail 주소록이용 UNIX의 Hosts,.ssh 파일등이용 대부분의 Mail Worm 에서나타남 최근에출현하는 Mail Worm 들은좀더지능적인방법들을동원함 인류최초의 Worm 인 Morris worm 에서사용 그당시 Scanning 공격을하기에는사용하는 Address Space 가너무적었음

31 확산방법분석 Passive Worms 스스로공격하지않고 Event 를기다림 CRclean: Anti-CodeRed Ⅱ Worm Wait for Code Red, respond with counterattack Nimda: Trojan web-page를통해접근사용자감염 감염속도는예측불가능 Event 를발생시키는 Traffic 에의존적 Stealth 능력이뛰어남 Scannig 동작이없어서감염동작을통해탐지해야함 Normal Service 를이용할경우탐지거의불가능

32 유해트래픽대응방안 경계해야할유해트래픽의유형 효과적인유해트래픽억제방법 자동화된탐지, 분석, 대응시스템필요 유해트래픽출현시나타나는이상징후들 유해트래픽출현시행동요령 어떻게대응해야하나? 대응솔루션 Q&A

33 경계해야할유해트래픽의유형 분류 공격유형 특징 피해범위 대응방안 Worm 형공격 1. 다수의사용자가사용하는운영체제나네트워크응용프로그램의취약점을이용 2. 스스로감염및전파를수행하는공격 1. 공격발원지나공격목적지를구분할수없음. 2. 특정프로그램의취약점을이용하므로통신 Port 가고정되어있음. 3. 하지만범용포트 (Ex:80/tcp) 를이용하는경우도많음 4. 소멸까지장시간소요 1. 피해지역 : 인터넷에연결되어있는모든곳 2. 파괴력 : 매우높음 1. 1 차감염예방 2. Port 차단 3. Contents Filtering DDOS 공격 1. 여러지역에있는취약한시스템을사전에해킹 2. 공격프로그램을심어놓고원격조정으로한번에특정서비스나네트워크를무력화 1. 여러지역에분포되어있는시스템으로부터공격 2. 공격발원지를알수없으나특정서버나네트워크를대상으로하므로목적지가고정되어있음. 1. 피해지역 : 공격목적지및경유지 2. 파괴력 : 높음 1. 차단기능만으로대응불가 2. Traffic Shaping 3. Session Shaping 시스템해킹 1. 특정사용자가운영하는시스템에악의적인목적으로 2. 허용되지않는접속이나프로그램수행 1. 공격발원지나목적지의정보를쉽게알수있으나위조혹은중간경유지이용 2. Traffic 이상등의징후가없으므로감지가어려움 1. 피해지역 : 공격을받은특정시스템 2. 파괴력 : 매우높음 ( 막대한손해 ) 1. 차단및탐지용보안장비설치 바이러스 1. 자체적인전파능력이없음 2. 특정파일에기생하여이동하는악성프로그램 1. 바이러스는네트워크를스스로이용하지않으므로네트워크에서탐지불가 2. 최근들어 Worm 과결합된 Worm Virus 출현 1. 피해지역 : 감염파일을사용하는모든 PC 나시스템 2. 프로그래머의악의성에따라피해범위가가변적임 1. Virus Wall 2. 시스템및개인 PC 에 Virus 백신프로그램설치

34 효과적인유해트래픽억제방법 Bug 없는프로그램제작 (?) Bug 는항상존재가능 (Stack Overflows 등 ) Patch 가개발되지만적절히적용되지않음 Firewall, IDS, Anti-Virus 설치 (?) 조그마한헛점을이용해서손쉽게돌파가능알려지지않은취약점을이용하는공격이많음 자동탐지및차단이최선 (Automatic Responses) Slammer Worm 은사람이대응하기에는너무빠르다. 공격특성에따른유연한대응가능장비필요 기타필요사항유용한분석도구긴급대응및복구체계프로토콜별대응시나리오

35 자동화된탐지, 분석, 대응시스템필요 Automated Detection: 유해트래픽의활동탐지 유해트래픽의발생여부및유해여부탐지유해트래픽의전파경로탐지지역적접근이아니라 ISP, 국가기간망과연동한접근필요 Automated Analysis: 유해트래픽의특징및대응책분석 어떤방법으로전파되는가? 어떠한서비스의취약점을 Target으로하는가? 어떠한시스템들이취약한가?(Signature 탐지 ) 어떤장비가피해를입었는가? 는무의미 Automated Response: 확산차단및복구

36 유해트래픽출현시나타나는이상징후들 Scanning 이용방식 Connection 요구에대한 Reject, 무반응패킷증가대부분의경우다양한 IP 대역이빠르게나타남 Metaserver 이용방식 Connection 요청이매우많아짐서버에서사용하지않는 Query 가발생 Outgoing Connection 이폭발적으로증가함 Hitlists 이용방식 Outgoing Connection 이폭발적으로증가함 Topological 형태 Outgoing Connection 이폭발적으로증가함

37 유해트래픽출현시행동요령 확산방법을신속히분석유해트래픽의확산방법을가장먼저이해 Worm 이선택할수있는확산방법은제한적임 Worm 을탐지하지말고확산방법을탐지사전에알려지지않은유해트래픽에대한대책수립 신속한유해트래픽확산경로차단현재감염된서버복구보다는추가적인확산차단에주력탐지및분석결과를최대한활용 Network Network

38 어떻게대응해야하나? Network Level 의 Detector/Responder 구축 고성능, 다기능탐지및방어장비필요 Flexible, Fast and Reasonably Low cost 유해트래픽의특성을감안한새로운방어기능탑재고성능 (Gigabit이상) 및다기능수행필요 지역감시체계가아닌전역감시체계로전환 Multi Layered 분산감시체계구축 유해트래픽의행동특성을이해하고출현감지및자동대응이가능한장비및체계구축

39 대응솔루션 Such unique solutions are provided only through SECUi.COM called NXG(Next Generation Gateway) I would like to invite you the next session The World of NXG

40 Q&A 감사합니다.

제20회_해킹방지워크샵_(이재석)

제20회_해킹방지워크샵_(이재석) IoT DDoS DNS (jaeseog@sherpain.net) (www.sherpain.net) DDoS DNS DDoS / DDoS(Distributed DoS)? B Asia Broadband B Bots connect to a C&C to create an overlay network (botnet) C&C Provider JP Corp. Bye Bye!