<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

Similar documents
#WI DNS DDoS 공격악성코드분석

*2008년1월호진짜

TGDPX white paper

생활가이드내지최종

*****

<C0CCC8ADC1F82E687770>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

제20회_해킹방지워크샵_(이재석)

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc


Microsoft Word - src.doc

Microsoft PowerPoint - 권장 사양

ìœ€íŁ´IP( _0219).xlsx

ÀÎÅÍ³Ý ÁøÈï¿ø 5¿ù

untitled

Windows 8에서 BioStar 1 설치하기

*

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

歯2019

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

<31305FBEC6C0CCC5DB2E687770>

Microsoft PowerPoint - 10Àå.ppt

UDP Flooding Attack 공격과 방어

Windows Server 2012

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진

<5BB5BFB8EDB4EB2D E4B5D C0A5BDA9C0C720BAD0BCAEB0FA20B4EBC0C020B9E6BEC82E687770>

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지


untitled


<BACFC7D1B3F3BEF7B5BFC7E22D3133B1C733C8A BFEB2E687770>

untitled

ActFax 4.31 Local Privilege Escalation Exploit

Cloud Friendly System Architecture

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법 네트워크 드라이브에 접속하여

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

07_alman.hwp

Microsoft PowerPoint - 원유재.ppt

Secure Programming Lecture1 : Introduction

(Microsoft PowerPoint - NRMWFKPIIYBC [\310\243\310\257 \270\360\265\345])

<B1DDC0B6C1A4BAB8C8ADC1D6BFE4B5BFC7E C8A3292E687770>

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

<4D F736F F D2033BFF920BECBBEE0BFF9B0A3BAB8B0EDBCAD2E646F6378>

BEA_WebLogic.hwp

IssueMakersLab

PowerPoint Presentation

The Pocket Guide to TCP/IP Sockets: C Version

ÀÎÅÍ³Ý ÁøÈï¿ø 3¿ù ÀúÇØ»ó

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

untitled

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

DDoS 방어기술, 경험, 전문가의결합, AhnLab TrusGuard DPX 안철수연구소트러스가드 DPX (DDoS Prevention express) 는 DDoS 공격방어를위한보안기술과안철수연구소의인프라가결함된새로운 DDoS 공격방어전용제품입니다. 이제품은다단계필터

Windows Server NTP 설정가이드 Author 이종하 (lovemind.tistory.com) 1

1

PowerPoint 프레젠테이션

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

Vol.06 June CONTENTS 2 page 1. 월간동향요약 월보안이슈 주요보안권고 침해사고통계분석요약 침해사고위협분석요약 4 5 page 2. 침해사고통계분석 2-1. 악성코드피해신고통계분석 5

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Install stm32cubemx and st-link utility

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

untitled

슬라이드 0

5th-KOR-SANGFOR NGAF(CC)

VPN.hwp

한국정보보호진흥원

암호내지

슬라이드 1

PowerPoint 프레젠테이션

Studuino소프트웨어 설치

BOT Generator Analysis

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

1

인터넷침해사고 동향및분석월보 2011 Vol.12 12

PowerPoint Template

6강.hwp

AhnLab_template

Contents 월간동향요약 2. 침해사고통계분석 3 -. 증감추이 ( 전월대비 ) 3-2. 침해사고통계요약 3-3. 침해사고통계현황 4 웜 바이러스신고건수추이 주요웜 바이러스별현황 -4. 해킹 6 해킹사고접수처리건수추이 피해기관별분류 피해운영체제별분류 피싱경유지신고처

서비스) 와서버( 관리대상서버) 간에자격증명을사용하여서로의 ID 를확인하고서로주고받는데이터를검사하고암호화하는프로세스 이다. 높은인증수준은일반적으로성능의저하를가져올수있지만높은 수준의보안과데이터무결성을제공한다. 기본값 - 관리대상서버에설정되어있는 DCOM 인증수준기본 값을

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

목록 1. DoS/DDoS attack? 2. Dos와 DDoS의차이점 3. DoS공격으로의심할수있는증상 4. DoS 공격유형 5. DDoS 공격유형 6. 주요 DDoS 공격피해사례 7. DoS와 DDoS 공격에대한대응책 8. 알게된사실 9. 참고사이트

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

System Recovery 사용자 매뉴얼

PowerPoint 프레젠테이션

Microsoft Word - CAE 클러스터 환경 구축-ABAQUS.doc

rv 브로슈어 국문

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

온라인등록용 메뉴얼

Transcription:

웹하드서비스를통해생성된 Botnet 을이용한 DDoS 공격피해사례 2009. 12. 본보고서의전부나일부를인용시반드시 [ 자료 : 한국인터넷침해대응센터 (KrCERT)] 를명시하여주시기바랍니다. - 1 -

1. 개요 최근발생하고있는 DDoS 사례들을분석해보면그방식들이점점지능화되고조직화되고있다는것을확인할수있다. 또한 DDoS 공격의목적도과거자기과시또는정치적인이유의단순한목적에서벗어나금전적이득을취하거나경쟁업체의영업을방해하기위한목적으로점차기업화되고있기도하다. 아울러근래몇년동안의 DDoS 공격을살펴보면공격자들은 < 그림 1> 과같은구조를가진봇넷 (Botnet) 1) 을주로이용한다는것도확인된다. 이러한봇넷을구성하기위해공격자들은다양한방법으로 PC에악성봇파일을감염시키고있는데그방법은갈수록지능화되어짧은시간동안많은 PC를동원하여봇넷을구성할수있게되었다. < 그림 1. 봇넷의기본구조 > 본특집에서다루게될 DDoS 피해사례는위에서언급한봇넷을이용한사례이며 PC 사용자들이주로사용하는웹하드서비스통해악성봇을유포한후봇넷을구성한사례이다. 아울러본특집에서는웹하드를서비스사용하는중악성봇에감염된 PC와실제 C&C 서버 2) 로사용된서버를분석한데이터를토대로기술하도록하겠다. 1) Wikipedia, "Botnet", 2009, http://en.wikipedia.org/wiki/botnet 2) Command & Control Server, 악성봇에감염된좀비PC를제어하는서버 - 2 -

2. 피해상황 DDoS 공격의피해를입은시스템은온라인게임을서비스해주는웹서버였으며 해당웹서버가처리가능한최대대역폭은 1Gbps 이었다. 피해시스템에대한개요 는아래와갔다. 가. 피해시스템 o 대상사이트 : 1개사이트 ( 온라인게임서비스 ) o 운영체제 : Windows Server 2003 Standard Edtion o 웹서버환경 : IIS 6.0, ASP o 기타서비스 : FTP 나. DDoS 공격개요 o 피해대상 : 1개웹서버 o 공격유형 : TCP Flooding, SYN Flooding, ACK Flooding, CC Attack o 공격트래픽 : 약 8Gbps o 공격시간 : 약 45분 o 공격 IP : 1차 100여개, 2차 3000여개, 3차 4000여개 DDoS 공격은총 3차례에나누어서진행되었으며공격이거듭될수록 DDoS 공격에사용된봇넷의좀비 PC 규모는급격히늘어나고있었다. 따라서좀비 PC들이어떻게악성봇에감염되었는지를파악하기위해감염경로를파악하고감염된좀비 PC들을제어하는 C&C 서버를찾아내기위해 DDoS 공격에사용된좀비 PC를분석하였다. 좀비 PC 와 C&C 서버분석결과이번 DDoS 공격은전체적으로다음 < 그림 2> 와 같은구조로수행되어졌음이확인되었다. - 3 -

< 그림 2. DDoS 공격구조 > 공격자는먼저 1악성봇 (Downloader) 으로확인된 MediaControl.exe를동영상파일과합친후웹하드에업로드하였고, 2웹하드서비스를통해해당동영상을다운로드받은 PC는 MediaControl.exe 를같이다운로드받게된다. 이후 3MediaControl.exe가실행되어 C&C 서버로부터피해서버의 IP가하드코딩된 Net_Send.exe 를 PC로다운로드받게되며 4Net_Send.exe 는지정된 IP로각종공격트래픽을발생시키게되는것이다. 위과정의 DDoS 공격을받은웹사이트는 < 그림 3> 과같이접속불능상태에빠지게된다. < 그림 3. DDoS 공격으로인해접속불능상태인웹사이트 > - 4 -

3. Bot( 좀비 ) PC 분석 본특집에서다루고있는 DDoS 피해사례에대한세부적인분석을위해먼저 DDoS 공격에서사용된 Bot( 좀비 ) PC 의분석을진행하였다. 분석된 Bot PC 는 1 차 DDoS 공격시사용된 100 여개의 IP 중하나였으며자세한내용은아래와같다. 가. 분석대상 o 대상 PC : A대학교연구실노트북 o 운영체제 : Windows Vista o 기타어플리케이션 : J 社웹하드사용중 o 특이사항 : Windows 보안업데이트완전설치상태 나. 분석결과 o 먼저해당봇감염 PC 의 Internet Explorer 사용내역을확인하기위해 index.dat 파일을아래와같이분석하였다. < 그림 4. Internet Explorer 사용내역 > index.dat을통해 IE History를분석한결과 < 그림 4> 에서와같이사용자는 J웹하드서비스에접속하여동영상파일을다운로드받은시간과 MediaControl.exe의생성시간이동일한것으로확인되었다. 따라서해당동영상과 MediaControl.exe는같이다운로드된것으로추정된다. - 5 -

o 웹하드서비스를통해다운로드된 MediaControl.exe 는 < 그림 5> 에서보는것과같이윈도우즈시작프로그램에등록되어윈도우즈가시작될때마다실행되게된다. < 그림 5. 윈도우즈시작프로그램목록 > o 윈도우즈시작프로그램에등록된 MediaControl.exe 가실행되면해당봇감염 PC 는 < 그림 6> 과같이지정된 C&C 서버의특정포트로접속을시도하게된다. < 그림 6. C&C 서버로접속 > MediaControl.exe 로인해 C&C 서버로접속한봇감염 PC 는 C&C 서버 의특정포트를통해 DDoS 공격수행에필요한추가악성코드를다운로드 받게되는것이다. o 봇감염 PC 는 C&C 서버로부터추가악성코드를다운로드받은후 < 그림 7> 과같이지정된경로에마치정상적인파일인것처럼저장되게된다. < 그림 7. 추가로다운로드된악성코드 > - 6 -

C&C 서버로부터다운로드받은 Net_Send.exe의내부에는봇에감염된좀비 PC들의공격대상이되는서버의 IP 주소가하드코딩되어있다. o DDoS 공격에필요한파일을 C&C 서버로부터모두다운로드받은 MediaContrl.exe 프로세스는 Net_Send.exe 파일을참조하여 DDoS 공격을수행하게된다. < 그림 8. DDoS 공격수행 > < 그림 8> 에서와같이 MediaControl.exe 프로세스는 Net_Send.exe 를자 식프로세스로실행하게되며 Net_Send.exe 는하드코딩된 IP 를대상으로 각종 DDoS 공격을수행하게된다. o C&C 서버로부터다운로드되는파일은 MediaUpdate.inf, MediaLoad.sys, MediaInit.sys, MediaUpdate.exe, Net_Send.exe 등이며이파일들의생성순서는아래 < 그림 9> 와같다. - 7 -

MediaControl.exe 에감염된좀비 PC 는다음과같은순서로악성코드를생성하게된다. 1 C&C 서버에접속하여추가악성코드의다운로드를시도하게되고 2 생성될악성코드명을지정하고있는 MediaInit.sys와악성코드의업데이트정보를가진 MediaUpdate.sys, 그리고암호화된악성코드인 MediaLoad.sys 를다운로드받게된다. 3 MediaLoad.sys의압축이풀리면공격대상사이트의 URL이하드코딩되어있는 MediaUpdate.exe가생성되거나역시공격대상사이트의 IP 가하드코딩되어있는 Net_Send.exe가생성되게된다. 마지막으로분석된좀비 PC 에서추출된 MediaUpdate.exe 와 Net_Send.exe 는 모두 SYN Flooding 공격을하도록되어있었다. 4. C&C 서버분석 앞서설명했다시피웹하드서비스를통해 MediaControl.exe를다운로드받은 PC 들은 MediaControl.exe가윈도우즈시작프로그램에등록되어윈도우즈가시작될때마다실행되게된다. 이때 MediaControl.exe 프로세스는원격지의웹서버에접속하여또다른악성코드를해당 PC에추가로다운로드받게되는데그웹서버를분석한결과 C&C 서버역할을수행하고있었던것으로확인되었다. C&C 서버로확인된서버에대한자세한분석내용은아래와같다. 가. 분석대상 o 운영체제 : Windows Server 2003 Standard Edition SP2 o 웹서버 : Apache_Tomcat - 8 -

o 특이사항 : Apache_Tomcat 이외별다른서비스없음 나. 분석결과 o 웹하드서비스를통해 MediaControl.exe 를다운로드받은 PC 의네트워크 연결상태를보면아래같이 MediaControl.exe 프로세스가원격지의웹서 버와연결되어있는것을확인할수있다. < 그림 10. 봇 PC 와연결된 C&C 서버 > < 그림 10> 과같이 MediaControl.exe 는주기적으로 C&C 서버로확인된원 격지의웹서버와연결이되었으며해당웹서버로부터앞서 Bot PC 분석에 서언급한악성코드를다운로드받게된다. o 해당 C&C 서버를추적하여분석한결과웹서버의홈디렉토리로사용된 경로에아래와같은파일들이위치하고있었다. < 그림 11. C&C 서버의홈디렉토리 > < 그림 11> 에서보면 C&C 서버의홈디렉토리에는 MediaControl.exe 가 실행되는 PC 로전송할악성코드와 DDoS 공격에사용되는툴을올려놓은 것을확인할수있다. o C&C 서버의홈디렉토리에서발견된 Server_Tool.exe 파일은아래그림 과 DDoS 공격관련파일을배포하기위한툴로확인되었다. - 9 -

< 그림 12. DDoS 공격관련파일배포툴 > o C&C 서버의웹서버홈디렉토리에는 MediaControl.exe 에감염되어 C&C 서버로접속한 Bot PC 들의 IP 와악성코드를추가로다운로드받아간 IP 들 의로그가남아있는것을확인하였다. < 그림 13. Bot PC 들의접속로그 > < 그림 13> 의접속로그를통해 MediaControl.exe 를다운로드받은 Bot PC 의규모를확인할수있었으며아울러 MediaControl.exe 가최초배포된시 간도확인할수있었다. - 10 -

o 해당 C&C 서버에는주기적으로원격지의 IP로접속을시도하는시스템백도어가설치되어있는것도확인되었다. < 그림 14. C&C 서버에설치된시스템백도어 > C&C 서버에설치된백도어가주기적으로접속을시도한 IP 는아래와같이 중국어느 IDC 에서사용중인 IP 인것으로확인되었다. 5. 결론 본특집에서언급한사례이전에발생했던 Botnet에의한 DDoS 피해사례의가장근본적인원인은거의대다수가취약한웹사이트를통한악성코드의유포와윈도우즈보안업데이트가제대로이루어지지않은 PC로인한복합적인문제가대부분의원인이었다. 하지만이번사례의경우 Botnet 을이용한 DDoS 공격이라는공통점은있으나 Botnet 을구성할수있었던원인이취약한웹사이트를통한악성코드유포도아 - 11 -

니었으며보안업데이트가제대로이루어지지않은 PC들에의한 DDoS 공격도아니었다는데주목할필요가있다. 즉, 이번사례에서도확인된바와같이취약한웹사이트를통한악성코드유포와취약한 PC로구성된 Botnet을이용한 DDoS 공격은이제서서히고전적인방식이되어가고있다. DDoS 공격자들은점차지능적으로 Boetnet을구성하여 DDoS 공격을수행하고있으며그규모는갈수록확대되고있고조직화되어가고있는것이현실이다. 이에따라 PC 사용자들은보안업데이트는물론이거니와웹하드서비스나 P2P 서비스를통해검증되지않은파일을다운로드받는것을지양해야하고주기적으로보호나라 (http://www.boho.or.kr) 의악성봇감염확인서비스를이용하여자신의 PC가악성봇에감염된것은아닌지확인해보아야할것이다. - 12 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원