목차 1. 요약편 DDoS 공격, 7.7 DDoS 대란의업그레이드판 DDoS와차이점그리고유사점 피해통계 타임라인 공격대상 DDoS 공격관련 FAQ...

3.4 DDoS 분석보고서 2011.03. 안철수연구소 1/63

목차 1. 요약편... 4 1.1 3.4 DDoS 공격, 7.7 DDoS 대란의업그레이드판... 4 1.2 7.7 DDoS와차이점그리고유사점... 5 1.3 피해통계... 7 1.4 타임라인...10 1.5 공격대상...11 1.6 3.4 DDoS 공격관련 FAQ...13 2. 상세기술편...18 2.1 다운로더 (Downloader)...18 2.1.1 주요 API 문자열디코딩...20 2.1.2 사용자 PC 정보유출...21 2.1.3 Anti-Monitoring...22 2.1.4 DeleteUrlCacheEntryA()...22 2.1.5 다운로드삭제배치파일...22 2.1.6 메인 DLL 파일실행...23 2.2 메인 DLL 파일...24 2.2.1 백신업데이트차단...26 2.2.2 데이터파일생성...27 2.3 DDoS 공격 DLL 파일...29 2.3.1 공격시간파일명얻기...30 2.3.2 공격대상 URL 목록얻기...31 2.3.3 공격조건...32 2.3.4 공격프로토콜...33 2.4 MBR/ 파일파괴 DLL 파일...36 2.4.1 MBR/ 파일파괴동작과정 ( 세부 )...37 2.4.2 파일파괴...42 2.4.3 MBR( 디스크 ) 파괴...43 2.5 C&C 서버통신 DLL 파일...46 2.5.1 AES(Advanced Encryption Standard) 복호화...47 2.5.2 서버주소얻기...48 2.5.3 서버통신과정...50 2/63

2.5.4 서버와감염 PC 간의통신프로토콜...52 2.5.5 복호화및파일실행...53 2.6 네트워크분석...56 2.6.1 HTTP Get Flooding...57 2.6.1.1 Accept 헤더필드...57 2.6.1.1 User-Agent 헤더필드...58 2.6.1.1 Cache-Control 헤더필드...59 2.6.2 ICMP Flooding...60 2.6.3 UDP Flooding...60 2.7 공격유형별분포도...61 2.7.1 C&C 국가분포도...61 2.8 좀비PC 발생트래픽산출...62 2.8.1 1,2 차공격에의한트래픽...62 3/63

1. 요약편 다시발생하면안되는 DDoS 공격이 2년만에다시발생했다. 이번공격은 2011년 3월 4일오전 10시와오후 6시 30분에국내다수의웹사이트를대상으로발생했는데, 7.7 DDoS 대란때와마찬가지로 DDoS 공격, C&C 통신, MBR(Master Boot Record)/ 파일을파괴하는기능을가지고있었다. 1.1 3.4 DDoS 공격, 7.7 DDoS 대란의업그레이드판 [ 그림 1] 3.4 DDoS 전체개략도 이번공격의가장큰특징은 7.7 DDoS 대란과유사했지만더욱업그레이드되었다는것이다. 우선 7.7 DDoS의경우, 마지막 DDoS 공격날인 10일자정에하드디스크와파일이파괴됐다. 그래서안철수연구소에서는당시백신을설치하지않은 PC는날짜를변경하도록안내했다. 그런데이번 3.4 DDoS 공격에서는날짜를이전으로바꾸거나, 감염시점을기록한 noise03.dat 파일을삭제할경우에도하드디 4/63

스크와파일이파괴된다. 또한파괴시키는운영체제도 7.7 DDoS 공격때는닷넷프레임웍기반인윈도 우 2000/XP/2003 에국한됐으나, 이번에는모든윈도우운영체제가해당된다. 아울러 7.7 DDoS 공격에서는같은파일구성으로여러차례공격했으나, 이번에는공격때마다파일구성이달라지고새로운파일이추가제작돼분석및대응에시간과노력이더들었다. 즉, 대응을할때마다공격자가실시간으로공격시나리오를변경한셈이다. 또한공격종료시점이명확했던것과달리이번에는종료시점이기록되지않았다는것도차이점이다. 이외에도호스트파일변조로백신업데이트를방해해치료하지못하게하는기능도새로추가된것이다. 또한 3.4 DDoS 공격과 7.7 DDoS 공격의유사점은개인사용자 PC가 DDoS 공격자이고, 배포지로 P2P 사이트가활용됐다는것이다. 아울러외부서버로부터명령을받으며, 사전계획대로공격이이루어졌다는것도유사하다. 이밖에공격형태와대상이유사하고, 공격목적이불명확하다는점, 좀비 PC의하드디스크및파일이파괴되는것으로악성코드의수명이끝난다는점이다. [ 그림 1] 을보면각기역할이다른 10 여개의파일이유기적으로작동한다. SBUpdate.exe 이처음설치 된후해외의특정 C&C 서버에접속하는동시에 ntcm63.dll, ntds50.dll 파일을생성한다. 이두파일은 다시 7 개의파일을생성해실행한다. 이 7 개의파일은역할이각기다르다. 즉, mopxsvc.dll 파일은 faultrep.dat(c&c서버주소를저장함 ) 파일을참조해 C&C 서버에접속해명령을받아온다. watcsvc.dll 파일은 tlntwye.dat 파일 (DDoS 공격시각정보를담음 ), tljoqgv.dat 파일 ( 공격대상웹사이트 40개의정보를담음 ) 을참조해 DDoS 공격을수행한다. 또한 soetsvc.dll 파일은 noise03.dat( 최초감염시각을저장함 ) 파일을참조해하드디스크및파일을파괴시킨다. 4일오전 10 시에발생한공격또한이와같은방식으로이루어진다. 한편, 5일밤에는해외의특정 C&C 서버에서 clijproc.dll 파일이새로다운로드됐다. 이파일은다운로드되어실행되는즉시하드디스크및파일을파괴시킨다. 1.2 7.7 DDoS 와차이점그리고유사점 앞서언급했던것처럼이번공격과 7.7 DDoS 공격과두드러지게나타나는차이점은공격하는사이트가늘어났다는점과치료를방해할목적으로백신업데이트및홈페이지접근을방해하는기능을추가했다는것이다. 즉, 이번공격이이전보다진화했다는것을보여주는단적인예라할수있다. [ 그림 2] 는 7.7 DDoS 공격때와이번에발생한 3.4 DDoS 공격에대해서차이점을나타낸것이다. 5/63

[ 그림 2] 7.7 DDoS 와 3.4 DDoS 의차이점 [ 그림 3] 은이번공격과 7.7 DDoS 공격때유사점을나타낸것인데가장큰특징은전반적인공격시 나리오가유사하다는것이다. 이번공격도이전처럼공공기관을대상으로했으며공격이끝나면하드 디스크를파괴하는특징을가지고있었다. [ 그림 3] 7.7 DDoS 와 3.4 DDoS 의유사점 6/63

1.3 피해통계 이번공격은 4일부터시작되었으나 [ 그림 4] 에서보듯 3일오후 4시부터안철수연구소의 AhnLab Smart Defense ( 이하 ASD) 진단이되기시작했다. 3일, 7시가지나자상당히많은건수가사전진단됐다. 이와같은사전진단은 4일에있었던오후 6시 30분공격피해를최소하는데많은기여를했다. 참고로 ASD 기반에서통계를낸수치들은안철수연구소의기업용제품제품들 (V3 IS 7.0, V3 IS 8.0) 과의진단건수통계와는다를수있다. [ 그림 4] 3 월 3 일진단추이 7/63

[ 그림 5] 3 월 4-6 일진단추이 [ 그림 5] 를보면, 3월 4일 DDoS 1차공격때인 10시를전후로진단건수가증가하는것을볼수있다. 그러나건수자체는많지않았기때문에 DDoS 공격을받는고객사이트는큰이슈가없었다. 2차공격때인오후 6시 30분부터진단건수가약간증가했지만얼마시간이되지않아서다시줄어들기시작했다. 5일새벽 5시부터갑자기 DDoS 공격이증가한것은또다른 DDoS 공격악성코드를 ASD를통해실시간으로수집 / 반영했기때문이었다. 6일부터는다행히 DDoS 공격이진정국면으로접어들었다. 8/63

[ 그림 6] 3 월 3 일 ~ 3 월 6 일까지진단된 Top 3 악성코드 마지막으로 [ 그림 6] 은 DDoS 기간동안진단됐던악성코드들중에서상위 3개를선정하여통계를뽑아낸것이다. 진단추이를보면 3개의악성코드모두가거의비슷한건수를나타내는것을볼수있다. 이것들은모두메인 DLL 파일에서생성되는 ( 이후드롭 ) 파일들로 Win-Trojan/Ddosagent.71008 로진단되는악성코드는 C&C 서버와통신하는모듈이며, Win-Trojan/Agent.46432.D 은 MBR/ 파일파괴모듈이다. 진단명 Win-Trojan/Agent.40960.BOH 는이번에가장핵심이되었던 DDoS 공격모듈이다. 진단건수의추이를보면이번공격은 5 일에최고치를나타내는것을볼수있다. 6 일부터는 ASD 통계 와비슷하게진정국면에접어들었다. 9/63

1.4 타임라인 [ 그림 7] 3.4 DDoS 타임라인 [ 그림 7] 에서보는바와같이이번 3.4 DDoS 의첫번째공격악성코드 ( 이후샘플 ) 는쉐어박스라는웹 하드에서접수됐다. 이의심스러운파일의수집도 ASD 를통해서였다. 공격자가아무리교묘하게파일 을변조해배포하더라도엄청난데이터와통계를기반으로하고있는 ASD 를피할수는없었다. 3일새벽 5시경에메인 DLL 파일을다운로드받는샘플이접수됐는데해당파일이접수된지 2시간만에해당파일이다운받는메인 DLL 파일들과메인 DLL 파일들이드롭하는 3개의모듈 (C&C 서버모듈, DDoS 공격모듈, MBR/ 파일파괴모듈 ) 이거의동시에수집됐다. 그리고 4일새벽 2시경부터파일시티웹하드에서 DDoS 변종샘플이접수되기시작했다. 그런데여기서특이한점은쉐어박스를통해서수집한첫번째샘플의 DDoS 공격시간은 3월 4일오후 6시 30분이었다. 그러나파일시티를통해접수된변종샘플의공격시간은 3월 4일오전 10시였다. 즉, 공격자는원래의의도대로공격이이루어지지않을것같자추가적으로변종을생성해뿌린것으로추정된다. 10/63

하루가지난 4 일오전 10 시, 오후 6 시 30 분부터분석한결과대로국내주요사이트, 공공기관, 금융기 관들의사이트들에대한 DDoS 공격이시작됐다. 3 월 4 일에 1, 2 차 DDoS 공격이끝난후한동안소강상태가지속되다가 5 일새벽 3 시경부터다시한번 DDoS 변종샘플이접수되기시작했다. 해당공격은분석결과대로 5 일에이루어졌다. 마지막으로 5 일오후 5 시경부터다시한번변종이접수됐는데이때에는 DDoS 공격모듈은없었으며, 무조건적으로하드디스크를파괴하는모듈과 C&C 통신모듈만존재했다. 1.5 공격대상 공격대상이되는웹사이트들은 [ 표 1] 에서보듯이정부기관과금융권그리고 IT 업체까지다양하게포 함되어있었다. 그리고이번에는해외사이트는주한미군과미 8 군전투비행단두곳뿐이었다. 1 차공격대상 (3 월 04 일오전 10 시 ) 기관명 2 차공격대상 (3 월 04 일오후 6 시 30 분 ) URL 기관명 경찰청 경찰청 police.go.kr 공군본부 공군본부 airforce.mil.kr 국가대표포털 국가대표포털 korea.go.kr 국민은행 국민은행 kbstar.com 국방부 국방부 mnd.mil.kr 국세청 국세청 nts.go.kr 국회 국회 assembly.go.kr 금융위원회 금융위원회 fsc.go.kr 네이버 네이버 naver.com 농협 농협 nonghyup.com 다음 다음 daum.net 대신증권 대신증권 daishin.co.kr 디시인사이드 디시인사이드 dcinside.com 방위사업청 방위사업청 dapa.go.kr 신한은행 신한은행 shinhan.com 안철수연구소 안철수연구소 ahnlab.com 11/63

외교통상부 외교통상부 mofat.go.kr 외환은행 외환은행 keb.co.kr 육군본부 육군본부 army.mil.kr 주한미군 주한미군 usfk.mil 지마켓 지마켓 gmarket.co.kr 청와대 청와대 cwd.go.kr 키움증권 키움증권 kiwoom.com 통일부 통일부 unikorea.go.kr 한게임 한게임 hangame.com 한국인터넷진흥원 한국인터넷진흥원 kisa.or.kr 합동참모본부 합동참모본부 jcs.mil.kr. 해군본부 해군본부 navy.mil.kr 행정안전부 행정안전부 mopas.go.kr 관세청국가정보원국방홍보원미 8 군전투비행단방송통신위원회옥션우리은행제일저축은행하나은행한국수력원자력 한국철도공사 customs.go.kr nis.go.kr dema.mil.kr kunsan.af.mil kcc.go.kr auction.co.kr wooribank.com jeilbank.co.kr hanabank.com. khnp.co.kr korail.com 총 29 개 총 40 개 [ 표 1] 3 4 DDoS 공격대상 12/63

1.6 3.4 DDoS 공격관련 FAQ 1. DDoS 공격이란무엇인가? DDoS 공격은 분산서비스거부 (Distributed Denial Of Service) 공격의약자로, 특정서버에다량의트래픽을보내어서버를다운시키거나네트워크를지연시켜서비스를불가능하게만드는것이다. 공격자는이른바좀비 PC라고불리는감염 PC를조정하여특정시간에특정사이트를공격한다. 즉, 수만에달하는여러대의컴퓨터를동작하게하여특정웹사이트에동시에접속함으로써해당사이트의시스템과부화를유발해정상적인서비스를할수없는상태가되도록만드는것이다. 2. 좀비 PC란무엇인가? 좀비 PC란악성코드에감염되어악성코드제작자의의도에따라명령을수행하는 PC를뜻한다. 즉, 사용자가모르는사이에해커의원격조정을받는 PC 로, 원격지에있는악성코드제작자의명령에의해조정된다는의미에서좀비라는용어로불리게되었다. 악성코드에감염된좀비 PC는사용자도모르게 DDoS 공격에이용돼특정사이트로대량의트래픽을전송하는역할을한다. 또한해커가원할경우, PC에담긴개인정보를빼내거나시스템을손상시킬수도있다. 3. 3.4 DDoS 공격에서파괴되는것들은무엇인가? 1) 파일파괴 : 이들악성코드는 A~Z의모든드라이브를검색하여다음과같은확장자를가진파일들을파괴시키는기능을갖고있다. 이동식디스크도파일파괴의공격대상이다. zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 2) 디스크파괴 : A~Z의모든고정드라이브를검색하여시작부터일정크기만큼을 NULL로채워디스크를파괴시키는기능을갖고있다. 앞선파일파괴공격과는달리, 디스크파괴는고정디스크만공격대상으로하고있다. 또한이기능은다음과같은 3가지경우에동작하도록되어있다. 1 2 noise03.dat 파일이존재하지않는경우 noise03.dat에기록된감염시간보다 PC 시간이빠른경우 파일및디스크파괴기능 동작 DDoS 공격을방어하기위해 PC 시간을공격시간이전으로돌리려고할때 noise03.dat에기록된감염시간보다이전으로돌리면 파일및디스크파괴기능 이동작 (* noise03.dat: PC가최초로감염된시간이기록된파일 ) 3 일정시간이지난경우 noise03.dat 에기록된감염시간으로부터일정시간이지 13/63

난경우해당기능이동작 특히당초에는최대설정값이 10 일이기때문에감염된모든 PC 에 파일및디스크파괴기능 이동작하도록되어있었으나, 공격이사실상실패로돌아가자 즉시 하드디스크를파괴하도록 설정이변경되었다. 3) Hosts 파일변조및백신방해 : 이들악성코드는 V3 엔진업데이트를제공하는인터넷주소의호 스트파일을변조해업데이트를방해하는기능을갖고있었다. 4. 돌연 5일밤, 공격에이용된좀비 PC의하드디스크를파괴명령을내린이유는무엇일까? 현재로서는정확한이유는알수없지만 3월 4일오후 6시 30분의 2차공격으로계획했던만큼의피해를입히지못하자공격자는공격이실패했다고판단한것으로추측된다. 당초 4~7일후에하드디스크가파괴되도록설정해두었음에도불구하고 3차공격이후 즉시 파괴되도록명령이전달된점이그증거라할수있다. 즉, 더이상의공격은무의미하다는판단으로데이터를파괴함으로써또다른혼란을시도한것으로보인다. 두번의공격에도불구하고공격대상사이트들의피해가적었던이유는신속한전용백신의개발및배포등으로공격자가원하는만큼의피해를입히지못하자, 공격방식변화와타깃축소의방법을택했을가능성이높다. 5. 지난 7.7 DDoS 공격에비해이번 3.4 DDoS 공격은그다지파괴력이없다고평가된다. 사실인가? 정확히표현하자면파괴력은강했지만피해가적었다고할수있다. 이번 3.4 DDoS 공격은공격대상사이트가 40개에달해 7.7 DDoS 공격당시 23개였던것보다공격규모가컸다. 또한공격에이용된악성코드도 7.7 DDoS 공격당시보다지능적이었다. 그럼에도불구하고실질적인피해는크지않았다. 이는 DDoS 공격의실체를파악하고사전에대응했기때문이라고할수있다. 특히, 7.7DDoS 공격의경험을토대로정부와민간기관들의발빠른대응이있었다. 뿐만아니라개인 PC 사용자들의적극적인대처가이번 3.4 DDoS 공격을무력화하는데큰역할을했다. 6. 이번 3.4 DDoS 공격의유포지가 P2P 사이트라고발표했다. 안철수연구소에서그렇게빠르게유포지를파악할수있었던배경은무엇인가? 실제로이번 3.4 DDoS 공격은사전에유포지를다찾아내었다는것이 7.7 DDoS 공격과의가장큰차이였다고할수있다. 안철수연구소에서사전에 DDoS 공격에대한정보를파악하고성공적인대응이가능했던것은클라우드컴퓨팅개념의악성코드대응시스템인 ASD(AhnLab Smart Defense) 가있었기때문이다. ASD는클라우드환경에서실시간으로위협탐지가가능하기때문에이번 3.4 DDoS 공격에이용된악성코드의샘플을실시간으로수집하고, 이악성코드를유포한 7개의 P2P 사이트를밝혀냈다. 특히 DDoS 공격에사용된 C&C 서버의 IP에접속하는프로그램을역추적하여, C&C 서버리스트, 공격자리스트정보를빠르게수집할수있었던것이다. 14/63

7. 안철수연구소에서는 1차, 2차공격을파악하고어떤조치를했는가? 안철수연구소는 ( 시큐리티대응센터 ) 의악성코드수집및분석능력과 CERT( 침해사고대응팀 ) 의위협모니터링및대응서비스의유기적인협조로신속하게악성코드유포지를찾는것은물론, 선제적으로이번 3.4 DDoS 공격에대응할수있었다. 우선, 1차공격이개시되기하루전인 3월 3일, 안철수연구소 에서해당악성코드샘플을수집해분석에돌입했다. CERT에서도고객네트워크트래픽을모니터링한결과, 이상징후를포착하고그결과를 에전달했다. 의악성코드분석결과와 CERT의네트워크모니터링분석결과를종합한결과, DDoS 공격이라는것이분명해졌다. 이에 에서는전용백신의개발 / 배포에착수했다. 동시에 CERT와보안관제, 네트워크지원부서에서는네트워크단에서신속한대응을할수있도록고객사네트워크제품에새로운시그니처를적용하고정책을새롭게적용했다. 이처럼안철수연구소는분석센터와관제센터가바로옆에위치하고있기때문에트래픽을즉각적으로분석, 대응할수있었으며샘플, 유포지, 감염통계치 ( 피해상황 ), 시간등관련정보를즉각적으로공유하여보다민감하게대응할수있었다. 아울러 3월 4일실제공격이발생한직후에는안철수연구소홈페이지등을통해일반 PC 이용자들과기업고객들을대상으로무료전용백신을배포했다. 또한 3차공격직후하드디스크파괴에관한내용을신속하게전달하고조치방안을제시하였다. 8. 숙주서버 (C&C) 는어느나라에있는가? 접속테스트결과, 좀비 PC 를제어한숙주서버 (C&C) 는미국, 호주, 베네수엘라, 대만, 포르투갈, 세르비 아, 이탈리아, 브라질, 이란, 태국, 그리스, 인도등여러국가에흩어져있는것으로확인되었다. 9. 모든좀비 PC의하드디스크가영향을받는가? 해당악성코드가파괴시키는운영체제는모든윈도우운영체제로확인되었다. 특히 noise03.dat 파일이존재하지않는경우 파일및디스크파괴기능 동작하게되며, PC가최초로감염된시간이기록된파일인 noise03.dat에기록된감염시간보다 PC 시간이빠른경우, 또는 noise03.dat에기록된감염시간으로부터일정시간이지난경우에도하드디스크파괴등의문제가발생할수있다. 그러나 V3 Lite나전용백신으로치료한경우에는하드디스크가파괴되지않는다. 10. 각개인 PC 사용자들이이러한피해를입지않으려면어떻게해야하는가? 이번하드디스크파괴증상은명령서버로부터명령을받고일정기간이지난후에동작했던 2009년 7.7 DDoS 공격때와는달리, 명령을받는즉시동작하도록설정되어있다. 따라서이용자들은 PC를켤때악성코드가동작하지못하도록반드시안전모드로부팅하여 DDoS 전용백신을다운로드받아점검한후안전한상태에서 PC를사용해야한다. 보다상세한조치는다음과같다. 15/63

1) 네트워크연결선 (LAN선) 을뽑는다. 2) PC를재시작한후 F8을눌러 ( 네트워크가능한 ) 안전모드를선택하여부팅한다. 3) 네트워크연결선을꽂아네트워크를재연결한후보호나라 (www.bohonara.or.kr) 또는안철수연구소 (www.ahnlab.com) 에접속하여 DDoS 전용백신다운로드 ( PC가이미켜져있는경우에는전용백신곧바로다운로드 ) 4) DDoS 전용백신으로악성코드치료후 PC를재부팅한다. 무엇보다악성코드에감염되지않도록주의해야한다. 특히악성코드유포지로활용되는파일공유사이 트에는당분간접속을자제하는것이바람직하다. 아울러이후에도백신제품을최신엔진으로업데이 트하고실시간감시를동작시켜재차감염되는것을방지해야한다. 11. 하드디스크데이터파괴를입었다면어떻게복구할수있나? 데이터복구프로그램및복구전문업체에별도문의가필요하다. 하지만현재까지의사례로보았을 때완전복구는어려울것으로보인다. 12. 기존에 V3를깔아놓았더라도 3.4 DDoS 전용백신을설치해야하는지? 그렇지않다. 이번 3.4 DDoS 공격의원인이되었던악성코드및그변종의발견즉시, V3에최신엔진업데이트가적용되었다. 그러므로 V3 이용자들이최신업데이트를적용했다면 3.4 DDoS 전용백신을설치하는것은불필요하다. 다만기존에 V3를설치했더라도최신업데이트적용을하지않은사용자라면위협에노출될수있다. 따라서기설치된 V3에대한최신업데이트를반드시적용해야한다. 13. 향후안철수연구소의 DDoS 대응전략은무엇인가? DDoS 공격은네트워크트래픽현상으로만바라보는것은매우좁은시각이다. 이번 3 4 DDoS 공격을비롯해최근 DDoS 공격의양상이고도화, 다양화하고있는만큼네트워크레벨에서클라이언트레벨까지전영역에대한전방위적방어체제가요구된다. 안철수연구소는네트워크트래픽기반의공격은 DDoS 공격대응전용제품인트러스가드 (TrusGuard) DPX가담당하고있다. 클라이언트레벨의악성코드탐지및치료는 V3 IS 8.0 V3 365 클리닉 V3 Lite 등 V3 제품군이맡고있다. 더불어웹페이지의안전한관리를위한웹페이지모니터링솔루션, 사용자기반웹보안솔루션으로악성코드유포를차단하고있다. 즉, 네트워크서버측면에서뿐만아니라클라이언트측면에서좀비 PC 해결및 DDoS 대응이가능하다는것이안철수연구소의강점이라할수있다. 또한이모든프로세스는안철수연구소의클라우드보안전략 ACCESS(AhnLab Cloud Computing E- Security Service) 하에전개되고있다. ACCESS는기존 ( 시큐리티대응센터 ) 의악성코드수집및분 16/63

석능력과 CERT( 침해사고대응팀 ) 의위협모니터링및대응서비스를지능형기술로받쳐주는플랫폼이 라할수있다. 바로이러한플랫폼을통해 DDoS 공격의근원지부터분석및대응, 배포과정을대응 프로세스관점에신속하게제공함으로써더욱종합적인대응체제를운영, 발전시킬계획이다. 17/63

2. 상세기술편 이편에서는이번 3.4 DDoS 공격에서실제이루어진파일들을기술적인관점에서설명하고자한다. 분석을하면서느낀점은 2년전 7.7 DDoS 공격때와매우흡사하다는것이다. 즉, 이번공격도같은단체또는제작자에의해서제작된것으로추정된다. 이번공격에서사용됐던파일들을분석하면서나타났던큰특징들은아래와같다. EXE파일은 DLL구동후삭제됨. DLL은서비스로구동됨. C&C 서버와의통신모듈존재 명령에따라다양한공격이가능함. 시스템시간정보를 8바이트 Variant Time으로변환하여특정날짜와비교하는기능이존재함. 2.1 다운로더 (Downloader) [ 그림 8] 메인다운로더개략도 18/63

다운로더 (sbupdate.exe) 는이번 3.4 DDoS 공격에서가장핵심이되는파일로모든공격이시작은이다운로더가실행되면서연쇄반응처럼각모듈들이실행된다. 다운로더는먼저자신파일내부에해당모듈은파일내부에저장되어있는 IP와포트정보를이용해 C&C 서버에접속해메인 DLL 파일 (ntds50.dll, ntcm63.dll 등 ) 을다운받는다. 이후다운로더가해당 DLL 파일을모두다운받으면 StartInstall이라는 Export함수를 IP, 포트정보가저장되어있는메모리시작주소와함께실행시킨다. [ 그림 8] 은다운로더가실행되는개략도를, [ 그림 9] 는다운로더안에 IP 목록과포트정보가저장되어있는것을나타낸것이다. [ 그림 9] 다운로더파일내에존재하는 C&C 서버목록 19/63

2.1.1 주요 API 문자열디코딩 [ 그림 10] 메인 DLL 실행시디코딩하는부분 메인 DLL 파일이실행이되면가장먼저자신이사용할주요 API 함수들을디코딩한다. 디코딩은단 순 XOR 연산이며 623 바이트크기만큼디코딩한다. [ 그림 10] 디코딩하는과정을간단히나타낸것이 다. 20/63

2.1.2 사용자 PC 정보유출 [ 그림 11] C&C 서버통신과정에서개인정보를유출하는코드일부분 다운로더가메인 DLL 파일을다운받기위해서 C&C 서버와통신을시작하고나면얼마후현재사용자 PC 정보들을유출하는코드가나타난다. 사용자코드는단순히 send() 함수를통해서보내지며실제사용자 PC 정보들은스택에저장된다. 저장되는형식 [ 그림 11] 에서보듯이 0xBF 0x00으로시작하는간단한포맷으로구성되어있다. 아래는보낼데이터를나열한것이다. 실행파일경로 상위프로세스명 컴퓨터이름 사용자계정 파일시간 시스템시간 시스템경과시간 따라서분석가입장에서이와같은샘플을분석할때는주의가필요하다. 21/63

2.1.3 Anti-Monitoring 다운로더의코드중간부분을따라가다보면 FindWindowA() 함수를이용해간단히 Anti-Monitoring하는기능이들어가있는데이것은 ClassName 이 PROCMON_WINDOWS_CLASS 와 18467-41 인것을검색하여 ProcessMonitor, FileMon, RegMon 등과같은도구를사용하지못하도록한다. 만약해당 ClassName이검색이될경우에는해당모듈이더이상실행되지않고종료된다. [ 그림 12] 은해당코드의일부분을나타낸것이다. [ 그림 12] Anti-Monitoring 코드일부분 2.1.4 DeleteUrlCacheEntryA() 다운로더의코드끝부분에는 DeleteUrlCacheEntryA() 함수를이용해캐쉬파일에저장되어있는자신의 파일을삭제하는기능이있는데이것은최근윈도우디지털포렌식수사기법을우회하기위해적용된 것으로판단된다. [ 그림 13] 은해당코드의일부분을나타낸것이다. [ 그림 13] DeleteUrlCacheEntryA() 함수사용 2.1.5 다운로드삭제배치파일 다운로더는자신이실행되고난후에자기자신을제거하기위해단순윈도우배치파일을생성하여 실행시킨다 ([ 그림 14] 참고 ). 22/63

[ 그림 14] 자신을삭제시키는윈도우배치파일 2.1.6 메인 DLL 파일실행 다운로더가 C&C 서버와성공적으로통신을마치면메인 DLL 파일을다운받는다. 다운로드가완료되면다운로더는해당파일을실행하기위해 [ 그림 15] 에서보는것과같이 StartInstall이라는 Export 함수에메모리시작주소를함께인자로넘겨메인 DLL 파일을실행시킨다. 여기서메모리시작주소는다운로더가가지고있는 IP, 포트목록을저장하고있는주소이다. [ 그림 15] 는메인 DLL 파일을실행시키는코드일부분을나타낸것이다. [ 그림 15] 메인 DLL 파일실행시키는코드일부분 23/63

2.2 메인 DLL 파일 [ 그림 16] 메인 DLL 개략도 메인 DLL 파일이 StartInstall이라는 Export함수로실행이되면 [ 그림 16] 와같이 hosts 파일을변조하여주요백신사이트접속을먼저차단한다. 이후관련데이터파일들과함께 C&C 서버통신모듈, DDoS 공격모듈, MBR/ 파일파괴모듈을차례대로생성하여실행시킨다. 모든모듈이실행되고난후에는자신의 DLL 파일을배치파일을통해서삭제한다. 메인 DLL 파일이각모듈의파일명들을생성하는규칙이있는데 Type A, B는동일하며 Type C만약간다른형태를가진다 ([ 그림 17] 참고 ). Type A, B인경우에는모두 nt 로시작하는문자열을가지고이후에두개의랜덤알파벳 (a-z) 과두개의랜덤숫자 (0-9) 를가지는이름으로생성 (ntds50.dll, ntgg55.dll 등 ) 한다. Type C의경우에는 sv 로시작하는것만다르고나머지는 Type A, B 파일명형태 (svqw34.dll, sveq99.dll 등 ) 와동일한패턴으로생성한다. 24/63

[ 그림 17] 메인 DLL 파일타입 / 시간별관계도 [ 그림 17] 은이번공격에서나왔던모듈들과관련데이터파일들을타입과시간별로나타낸것이다. 먼저 3월 3일, 4일에접수된모듈들과파일들은 (Type A, Type B) 완전히동일한형태로파일들이구성되어있는것을알수있다. 그러나 5일접수된모듈들과파일들 (Type C) 은약간은다르게모듈들이구성된것을알수있다. [ 그림 17] 을보면 C&C 서버통신모듈이름은 Type에상관없이 m계열로시작하며모두 faultrep.dat 파일을참조한다. DDoS 공격모듈인 w계열은 Type C를제외하고모두공격 URL과공격시간이저장되어있는 tljoqgv.dat 파일과 tlntwye.dat 파일을참조한다. 마지막으로 MBR/ 파일파괴모듈인 s계열은 Type C를제외하고모두 noise03.dat 파일을참조한다. hosts 변조도 Type별로약간씩다른형태를가지고있는데 [ 그림 17] 을보면 Type A는메인 DLL 파일내에 hosts 파일변조하는코드가있으며 Type B 같은경우는 Type A와달리 %SYSTEM% 폴더에 rtdrupr.exe 파일을생성하여 hosts 파일을변조한다. Type C 경우는 hosts 파일변조자체를하지않는다. [ 그림 18] 은각모듈들의파일명이생성되는것을상세하게나타낸것인데각모듈들의파일명은중간 에 3 개의랜덤문자열을이후에 svc 문자열을추가해서파일명이만들어진다. 25/63

[ 그림 18] 3 개의모듈들의파일명생성패턴 [ 표 2] 은메인 DLL 파일들의특징을각타입별로나타낸것이다. [ 표 2] 메인 DLL 파일타입별특징비교 2.2.1 백신업데이트차단 메인 DLL 파일이실행되면맨처음에 hosts 파일 (%SYSTEM%\drivers\etc\hosts) 에안철수연구소, 이스트소프트사와같은백신사이트주소를루프백 (127.0.0.1) 주소로변경하여해당사이트에접속하지못하도록설정한다. [ 그림 19] 에서알수있듯이같이 3월 3일, 4일에는왼쪽과같이변조하였으나 3월 5일에는정부가제공하는전용백신을다운받지못하도록 hosts 파일에 4개의도메인목록을추가했다. 참고로안철수연구소제품은변조된 hosts 파일을수동검사를통해서복원및치료가가능하다. 26/63

[ 그림 19] 3.4 DDoS 공격기간동안변조된 hosts 파일들 2.2.2 데이터파일생성 메인 DLL 파일이실행이되면총 4가지형태의 dat 파일이생성된다. 첫번째형태의파일인 faultrep.dat 파일은 C&C 서버와통신할때사용되는데해당파일안에는통신여부를결정하는시간정보, 감염 PC의 Mac 주소, IRC 서버에접속할수있는 IP 정보와포트번호가저장되어있다. 두번째형태의파일인 tljoqgv.dat 파일 ([ 그림 26] 참고 ) 은공격할주소, 공격 Thread 수등의정보가저장되어있다. 세번째형태의파일인 tlntwye.dat 파일에는실제 DDoS 공격을할시간정보가저장되어있다. 마지막으로 noise03.dat 파일은자신이감염된최초날짜와 MBR을파괴하는날짜를정하는정보를담고있다. [ 그림 20] 은각 dat 파일들의포맷구조를간단하게나타낸것이다 (tljoqgv.dat 파일은 [ 그림 26] 참고 ). 27/63

[ 그림 20] 각 dat 파일들의포맷구조 28/63

2.3 DDoS 공격 DLL 파일 [ 그림 21] 3.4 DDoS 공격 DLL 파일개략도 DDoS 공격 DLL 파일은메인 DLL 파일이실행됐을때실행되는모듈중에하나로 [ 그림 22] 와같이 서비스로등록되어부팅시에자동으로실행된다. [ 그림 22] 윈도우서비스로동작하는 DDoS 공격 DLL 파일 DDoS 공격모듈이실행되면 [ 그림 21] 과같이먼저자신이필요한 dat 파일명들을디코딩한다. 그것 29/63

들은각각 DDoS 공격시간파일명과공격대상 URL이저장되어있는파일명이다. 파일명디코딩이끝나고나면곧바로현재시간과공격시간을구한다. 만약현재시스템시간이공격시간보다크면 IP 쿼리스레드와 DDoS 공격스레드를생성하여공격을시작한다. 특히 DoS 공격을할때는 HTTP GET, UDP, ICMP와같이 3가지형태로공격을하는데이런공격형태는 7.7 DDoS 공격패턴과유사하다. 2.3.1 공격시간파일명얻기 DDoS 공격시간파일명이암호화된형태로저장되어있기때문에 [ 그림 23] 과같은알고리즘으로디코 딩해야만실제공격시간파일명을얻을수있다. [ 그림 23] 공격시간파일명디코딩하는코드 참고로파일명자체는암호화되어있으나공격시간은암호화되지않은형태로그대로기록되어있기 때문에어렵지않게공격시간정보를구할수있다. [ 그림 24] 는공격시간이담겨있는데이터파일에서 시간정보를추출하는화면이다. 30/63

[ 그림 24] DDoS 공격시간을추출하는화면 2.3.2 공격대상 URL 목록얻기 공격대상 URL 파일명도공격시간파일명을얻는것과동일한방식으로디코딩해야한다. [ 그림 25] 의 코드를사용해문자열을디코딩하면 tljoqgv.dat 라는파일명을얻을수있는데실제파일에는 [ 그림 26] 과같이공격에필요한구체적인정보가저장되어있다. [ 그림 25] 공격대상 URL 파일명을디코딩하는코드 31/63

[ 그림 26] 디코딩된공격도메인정보데이터파일 [ 그림 26] 을보면 7.7 DDoS 때사용했던공격파일과거의유사한것을알수있다. 다만, 이번 3.4 DDoS 공격대상파일에는공격시작시간, 공격종료시간등의정보는존재하지않았다. 2.3.3 공격조건 공격조건은현재시스템시간이공격시간보다클경우시작한다. 또한 7.7 DDoS 공격처럼현재시스템시간을설정할때항상 2011년으로년도값을고정하기때문에년도와관계없이월, 일조건만만족하고좀비PC들이여전히살아있다면 DDoS 공격이가능하다. [ 그림 27] 은 DDoS 공격조건을체크하는코드를나타낸것이다. 32/63

[ 그림 27] DDoS 공격조건을체크하는코드 2.3.4 공격프로토콜 7.7 DDoS 공격과유사하게 3 가지프로토콜 (HTTP GET, UDP, ICMP) 을이용하여 DDoS 공격을수행했다. [ 그림 28] HTTP GET Payload 를구성하는코드 33/63

[ 그림 29] HTTP GET Flooding 공격을하는화면 [ 그림 30] 공격대상에대한 UDP( 포트 :80, 1024 Byte) Payload 내용 [ 그림 31] 공격대상에대한 ICMP(204 Byte) Payload 내용 34/63

이번공격모듈에서는실제로공격을수행하는코드를다수의스레드 (Thread) 로생성및동작시켜시스템자원을많이사용하며생성한스레드가모두실행되면 5분후다시시작한다. [ 그림 32] 에서확인할수있듯이지정된숫자만큼스레드를생성한다. 이것은지난 7.7 DDoS 공격때실제공격이발생하는중에도 PC 사용자들이공격이발생되고있었는지모를정도의적은시스템자원을사용한것과대조적이다. 참고로공격대상이되는도메인목록마다한번에얼마나많은스레드를생성하여공격할것인지는공격도메인목록이담겨있는데이터파일 (tljoqgv.dat) 을참고해결정한다. [ 그림 32] 공격스레드생성코드 35/63

2.4 MBR/ 파일파괴 DLL 파일 [ 그림 33] MBR/ 파일파괴 DLL 개략도 [ 그림 33] 은 MBR/ 파일모듈의동작과정을간단히나타낸것이다. 먼저해당모듈이실행되면곧바로 현재시스템시간과공격시간을체크해시스템시간이공격시간보다크면파일파괴스레드와 MBR 파괴스레드를순차적으로생성해실행시킨다. 또한공격자는파괴시점을임의로조정할수있도록설계되었으며, DDoS 파일에최초감염된시점으로부터공격자가정한특정일이후에 MBR/ 파일파괴작업을수행하게된다. 이때, 최초감염날짜를저장하고있는파일이 noise03.dat 파일이며, 이후동일기능의파일이 TYEI08.DEP 라는이름으로변경되었다. 이두파일에는최초감염날짜정보 (8 바이트 ) 와공격자가정한특정일정보 (4 바이트 ) 가함께저장되어있다. 감염날짜는감염시스템마다다를수있으나, 공격자가정한특정일은 4일과 7일두가지형태가발견되었다. 즉, 감염된시점이후 4일혹은 7일이후에 MBR/ 파일파괴작업을수행하도록한것이다. 이때, dnsec.dat 파일이추가로활용되는데, 해당파일은실제생성되지않아정확한값을확인할수없으나공격자가정한특정일 (4일혹은 7일 ) 에추가로더해져서파괴시점을계산하는데활용될것으로추 36/63

정된다 ( 최대 10일이후로 ). 즉, 최초설정한 4일혹은 7일이아닌임의의날짜를공격자가결정할수있도록하였다. 이로인해이번 DDoS에서 MBR/ 파일파괴의가능성은사전에파악되었으나파괴시점을정확하게예측하는것이불가능했다. 3월 5일부터접수된변형에서알수있듯이공격자는감염과동시에파괴작업을수행하도록 dat 파일을변경하였다. 참고로 MBR/ 파일파괴 DLL 파일도 DDoS 공격 DLL 모듈과마찬가지로메인 DLL 파일이실행되었을 때실행되는모듈중에하나로 [ 그림 34] 와같이서비스로등록되어부팅시에자동으로실행된다. [ 그림 34] 윈도우서비스로동작하는 MBR/ 파일파괴 DLL 파일 2.4.1 MBR/ 파일파괴동작과정 ( 세부 ) MBR/ 파일파괴와관련된스레드는총 3개가존재한다. 처음실행되는메인스레드는 MBR/ 파일파괴시점을체크하는루프를반복적으로수행하며, 파괴시점을만족하면파일파괴작업을위한스레드와디스크파괴를위한스레드가각각순차적으로생성 / 수행된다 ( 모든드라이브의파일들에대한파괴가완료된이후에디스크파괴작업진행 ). MBR/ 파일파괴의모든경우의수는총 3 가지이다, 특정일이후에이루어지는것이외에 [ 그림 35] 에 서알수있듯이사용자가임의로시스템날짜를감염날짜이전으로돌렸을경우, 혹은 noise03.dat 파 일을삭제한경우에도파괴작업이이루어질수있도록제작되어있다. 이는과거 7.7 DDoS 당시, 여러백신업체에서대응시시스템날짜를변경하거나데이터파일을삭제하는작업을수행했던것을파악하고이러한대응이이루어지는것을차단하기위해추가한것으로판단된다. TYEI08.DEP 파일의경우, noise03.dat 과동일한구조를갖는파일이나해당파일은 MBR/ 파일파괴를결정하는날짜값이 4 혹은 7의값이아닌 0으로설정되어있으며, DLL파일내부에해당값이 0인경우, 파괴작업을진행하도록한다. 즉, 특정일에상관없이파괴 DLL 구동과동시에파괴작업이 37/63

이루어진다. [ 그림 35] MBR/ 파일파괴가발생하는 3 가지케이스 [ 그림 36] 은 3 월 3 일부터 3 월 7 일까지안철수연구소에접수된 DDoS 샘플중, MBR/ 파일파괴관련파일 들의생성방식의변화를나타낸것이다. 38/63

[ 그림 36] MBR/ 파일파괴관련파일들생성형태의변화 [ 그림 36] 에서굵은블록으로표시된 5개파일들은파괴동작을수행하는것들이다. 3월 3일과 4일에수집된파일들은파일공유사이트를통해다운로드된 MAIN DLL(ntds50.dll, ntgg55.dll) 파일에의해드롭된파일들이다. 반면, 3월 5일과 7일에수집된파일들은 C&C 서버와의통신을통해새롭게다운로드된 EXE파일 (unbvvjsb.exe, btuenoce.exe) 에의해드롭되는파일들이다. [ 표 3] MBR/ 파일파괴관련파일들 V3 진단현황 39/63

[ 표 3] 은 MBR/ 파일파괴관련파일들의접수일자및 V3 진단명, 진단버전을나타낸것이다. 특이한점은 3월 5일자의드롭퍼인 unbvvjsb.exe 의경우, clijporc.dll 을드롭한후, 해당 DLL파일을서비스로구동함으로인해파괴작업을수행한반면, 3월 7일자의드롭퍼인 btuenoce.exe 의경우, 드롭한 rpcqproc.dll 파일뿐만아니라 EXE파일자신도파괴동작을수행하도록되어있다 (DLL과 EXE 모두에서동일한파괴동작을수행 ). 또한서비스로구동되는 rpcqproc.dll 의경우, 안전모드로부팅시에도구동할수있도록레지스트리에자신을등록하는기능이추가되었다. 아래는그레지스트리값일부를나타낸것이다. HKLM\SYSTEM\ControlSet001\Services\EventMan\Parameters\ServiceDll "%SystemRoot%\system32\everproc.dll" HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\EventMan Key: 0xE1DDBBB0 [ 표 4] 는시간에따라각파일들이파괴시키는변화추이를나타낸것이다. 첫번째공격이었던 3월 3 일과 4일의경우, 파괴대상파일을 0으로겹쳐쓰기를한후랜덤한암호를생성하여 CAB파일로압축하며, 기존파일은삭제하는동작을수행한다. 즉, 세번에걸쳐서하나의파일을삭제하는과정을거치게된다. 반면 3월 5일이후의경우, 압축라이브러리를포함하지않은작은파일크기형태로배포되었다. 이로인해 CAB으로압축및기존파일삭제하는과정없이 0으로겹쳐쓰는과정만을수행한다. [ 표 4] 시간에따른파일파괴과정의변화추이 [ 표 5] 는시간에따라파일종류별파괴의대상의변화추이를나타낸것이다. 3 월 4 일까지는 hwp 확장 자가 2 번반복추가된형태였으며, 이후에는해당확장자가한번만추가된것을알수있다. 확장자별 파일파괴종류를보면 7.7 DDoS 때와매우유사하다는것을알수있다. 40/63

[ 표 5] 시간에따른파일종류별파괴과정의변화추이 [ 그림 37] 은 noise03.dat 파일을읽어서 MBR/ 파일파괴가언제발생할지에대해서간단히계산을해주 는프로그램의화면을캡쳐한것이다. 참고로 Infection Time 은로컬 PC 가 3.4 DDoS 악성코드에감염 된최초시간을나타낸다. [ 그림 37] 최초감염시간이후 MBR/ 파일파괴날짜를계산해주는화면 41/63

2.4.2 파일파괴 [ 그림 38] 파일파괴과정흐름도 [ 그림 38] 은파일을파괴시키는과정을간단하게나타낸것이다. 파일파괴대상이되는드라이브는 A~Z 드라이브중고정식드라이브 (FIXED_DRIVE) 이며, 검색하는순서는 Z~A 순서로이루어진다. 파일 42/63

파괴는드라이브의모든폴더가검색대상이되며, 이중 %WINDIR%, %ProgramFiles% 에존재하는폴더의파일들은파괴대상에서제외되는특징이있다. 파괴대상파일은확장자의종류에따라결정되며, 해당파일의첫시작 16바이트값이 0인경우는파괴대상에서제외된다. 읽기속성만가지고있는파일에대해서도파괴를위해속성변경작업을수행하며, 파일의크기에따라 4MB씩나누어 0값으로채우는작업을반복하게된다. [ 표 4] 에서언급했던것처럼압축모듈의존재유무에따라 CAB파일생성여부를결정한다. CAB파일로압축시, 랜덤하게생성한 8바이트크기의암호로설정하며, 압축된파일은이미 0값으로파괴된상태라암호를알더라도복구할수없다. 또한, 압축이성공적으로이루어진이후에는원래의파일을삭제한다. 2.4.3 MBR( 디스크 ) 파괴 [ 그림 39] 는 MBR/DISK를 ( 이후디스크 ) 파괴하는과정을나타낸것이다. 디스크파괴작업을수행하는스레드는 OS 버전정보를얻는작업을가장먼저수행하며, 해당버전에따라디스크파괴시사용할기본버퍼의크기를결정한다. 즉, 감염시스템의 OS버전이 VISTA 이하버전이거나 NT가아닌경우에는 4MB의버퍼를할당하며, 그외에는 512바이트를할당한다. 버퍼의크기가결정되면, 0~25번까지의총 26개디스크파괴작업을순차적으로수행하게되는데각디스크별파괴는할당한버퍼크기를 10 만번반복한다. ( 예, 4MB 크기의경우, 400GB의디스크가파괴됨 ) 43/63

[ 그림 39] MBR 파괴과정흐름도 MBR/ 파일파괴 DLL파일을실제감염테스트를수행하면디스크파괴과정에서윈도우중요시스템의파일의파괴로인해시스템이비정상종료되는증상이발생된다. 이로인해디스크파괴크기는감염시스템마다가변적이다. [ 그림 40] 은 MBR 파괴전 / 후상태를나타낸것이며 [ 그림 41] 은 OS 버전별로다르게설정되는버퍼의크기에맞춰 0 값으로채워지는과정을나타낸것이다. 또한 [ 그림 42], [ 그림 43] 의경우, 실제 MBR에대한파괴가이루어진이후, 시스템을재부팅할경우사용자에게보여지는화면을나타낸것이다. 부팅실패메시지는윈도우버전또는 BIOS에따라서다르게나타날수있다. 44/63

[ 그림 40] MBR 파괴전 / 후의내용 [ 그림 41] OS 버전별 Write 하는버퍼의크기 [ 그림 42] MBR 파괴후부팅화면 1 [ 그림 43] MBR 파괴후부팅화면 2 45/63

2.5 C&C 서버통신 DLL 파일 [ 그림 44] C&C 서버통신 DLL 파일개략도 [ 그림 44] 에서보는것처럼 C&C 통신모듈은 C&C(Command-and-Control) 서버와통신을위한목적으로제작되었으며, [ 그림 45] 와같이메인 DLL 파일에의해윈도우서비스로등록되어실행된다. 따라서다른모듈들과동일하게부팅시에자동실행된다. 해당모듈은 C&C 서버와통신시간을결정하기위해 메인 DLL 파일 에서생성한 faultrep.dat 를참조하는데실제 C&C 서버와통신이이뤄지면 C&C 서버에서보내오는악성파일을다운로드받아서실행한다. 46/63

[ 그림 45] 윈도우서비스로동작하는 C&C 서버통신 DLL 파일 2.5.1 AES(Advanced Encryption Standard) 복호화 C&C 서버통신 DLL 에서사용하는윈도우라이브러리는악성코드분석을지연시키기위한목적으로 AES(Advanced Encryption Standard) 알고리즘으로암호화되어있다. 이때사용하는키값은 [ 그림 46] 과같이내부에기록되어있으며해당키값은 DLL 파일내에존재하는주요데이터들을 (API 문자열, 참조할파일명등 ) 복호화하는데사용된다. 참고로 AES 알고리즘은민감하지만비밀로분류되지는않은자료들에대해보안을유지하기위해미국정부기관들이사용하는것으로주로미국표준암호알고리즘 DES(64비트블록의입출력 ) 의안전성문제로차세대블록암호알고리즘표준으로인정받은것이다. [ 그림 46] AES 암 / 복호화키 47/63

2.5.2 서버주소얻기 [ 그림 47] C&C 서버통신시참조하는 faultrep.dat 파일구조 C&C 통신모듈이서버에접속을할때 faultrep.dat 파일을참조하는데해당파일의구조는 [ 그림 47] 과같다. 처음 8바이트는시간정보가저장되어있는필드로디폴드값은 0이다. 통신모듈은해당값을비교하여 C&C 서버와통신여부를결정한다. 이후에저장되어있는 6바이트는감염 PC의 MAC Address를나타낸다. 이후에 8바이트단위로나오는값은 IP주소와포트번호를나타낸다. 48/63

[ 그림 48] C&C 서버데이터파일 (faultrep.dat) 에서추출한 IP, 포트정보 [ 그림 48] 은이번 DDoS 공격에서사용된파일중 (faultrep.dat) 에하나를간단한프로그램을통해출력 한화면이다. 49/63

2.5.3 서버통신과정 [ 그림 49] C&C 서버와통신과정을나타낸개략도 [ 그림 49] 에서확인할수있듯이 AES 복호화가끝나면 faultrep.dat를읽고곧바로스레드를생성해 C&C 서버와접속을시도한다. 접속이이루어지지않으면 30분단위로접속시도를한다. 만약접속이이루어지면 8바이트통신시그니처를보내고해당시그니처가종료시그니처가아니면복호화를위해키테이블을생성한다. 그리고서버를통해서받은데이터를 0x1000단위로파일로저장한다. 이후종료시그니처가전송되면복호화가완료된파일을실행시킨다. 50/63

[ 그림 50] C&C 서버와통신을하는코드 [ 그림 50] 은실제 C&C 서버와통신을하는코드를 C언어형태로변환해서나타난것이다. C&C 서버와통신을하기위해서는몇개의인자와함께통신함수를호출해야하는데그인자들은각각 IP와포트정보를저장하기위한공간 ( 또는시작주소 ), 서버와연결시도횟수, 연결실패후대기하는시간등이있다. 51/63

2.5.4 서버와감염 PC 간의통신프로토콜 [ 그림 51] 감염 PC 와 C&C 서버간의통신개략도 [ 그림 51] 은감염 PC 가 C&C 서버와실제통신하는과정을나타낸것이다. 실제통신과정은아래와 같은과정으로진행된다. 1 클라이언트 ( 감염 PC) 에서고정된 32bit (0x45196327) 값을서버로전송한다 2 클라이언트요청을받은서버는클라이언트가보내온데이터를그대로전송한다 3 C&C 서버통신 DLL 에저장되어있는상수값 (0x3000) 을서버로전송한다 4 이후 faultrep.dat 파일에서얻은시간정보와클라이언트의 Mac Address를서버에전송한다 52/63

5 서버는고정된상수 0x0010을클라이언트에게전송한다 6 악성코드파일정보를 (Structrue1, Structrue1Data) 서버와주고받는다 7 다운로드파일크기를서버로보낸다 8 서버로부터요청받은생성할데이터와파일정보를받는다 9 클라이언트에서는받은데이터를디코딩한후에파일을생성한다 10 다음파일관련정보들이없을때까지과정 6부터 9를반복한다 11 모든것이끝나면서버에서 0xFFFF 데이터를보내종료요청을시도한다 12 클라이언트에서성공적으로마치면서버에게종료시그니처를 (0x01, 0x00) 보낸다 2.5.5 복호화및파일실행 C&C 서버로부터받은파일은 %SYSTEM%\NTDRV\111 라는폴더에다음과같이랜덤한파일명으로 생성하는데파일생성시간도랜덤하게설정된다. %%s\\%%s%%0%dd.%s %%s\\%%s%%0%dd %s\\%c%c%c%c%c%c%c%c%s 파일이생성되면자체복호화알고리즘을수행한다. 실제네트워크를통해서다운받은데이터를복호 화하는세부과정은아래와같다. 1 복호화를하기위해서는 0 ~ 255 까지값을가지는키테이블을생성해야하는데그테이블을 만들기위해서는 [ 표 6] 과같이 0x2C 까지값을가지고있다. [ 표 6] 0 ~ 255 키테이블을만들기위한정보 2 0 ~ 255 까지순서대로키테이블 (KeyTable) 을생성한다. 생성된키테이블은아래와같은연산 을가지고생성하는데실제테이블값은 [ 표 7] 과같이생성된다. 53/63

Temp = ( KeyTable[i] + KeyArray[i] + Temp ) & 0xFF Swap ( KeyTable[i], KeyTable[Temp] ) [ 표 7] 0 ~ 255 까지생성된키테이블 3 키테이블 (KeyTable) 이생성되면 [ 그림 52] 와같은알고리즘으로서버로부터받은데이터를 복호화한다. 4 네트워크를통해서받은모든데이터가복호화가완료되면해당파일을실행시킨다. 54/63

[ 그림 52] 자체복호화알고리즘을 C 언어로변환한그림 55/63

2.6 네트워크분석 이번공격에이용된 DDoS 방법에는크게 3 가지기법이사용되었다. 프로토콜별로는 HTTP, UDP, ICMP 로나뉘며 HTTP 가가장큰비중으로공격에이용되었다. 네트워크관점에서전체적인동작을요약하 면 [ 그림 53] 과같다. [ 그림 53] 3.4 DDoS 가이용하는네트워크동작 공격은크게 3 가지 Flooding 과 1 개의 C&C 서버와의통신으로이용되는네트워크로나눌수있다. 각공격에이용되는네트워크특징은아래에서세부적으로언급하겠으며, 참고로이번 DDoS 공격은 2009 년의 7.7 DDoS 공격과는몇가지차이점이있다. - 출발지 IP 위조기능 (IP Spoofing) 을포함하지않음 - 7.7 DDoS 공격의경우와달리패킷전송에 Winpcap 을사용하지않고, 윈도우의기 본네트워크소켓을사용하였음 56/63

- 3 차공격시, HTTP Flooding 공격으로만시도됨 (ICMP/UDP Flooding 제외 ) 이번공격에사용된특징을정리하면크게 [ 표 8] 과같이나뉘어진다. 공격유형 사용포트및프로토콜 특징 HTTP GET Flooding TCP/80 GET / HTTP/1.1 요청 Cache-Control 헤더사용또는비사용 Accept,User-Agent 헤더조건선택 ICMP Flooding ICMP Payload 사이즈가 204 바이트로고정 UDP Flooding UDP/80 Payload 사이즈가 1024 바이트로고정 [ 표 8] 3.4 DDoS 공격에이용된네트워크공격유형에따른특징 또한공격대상 ( 도메인 ) 별공격스레드수를달리한것이특징이다. 상대적으로웹기반인프라가잘갖 춰진주요포털사이트에대해서는조금더많은스레드수를부여하여효과적인공격을수행하고자 했던것으로풀이된다. 2.6.1 HTTP Get Flooding 특히 DDoS 공격에가장큰비중으로이용된 HTTP GET Flooding 은코드상으로몇가지조건을가지고 있다. 2.6.1.1 Accept 헤더필드 HTTP 헤더요청시사용되는이 Accept 헤더필드는클라이언트브라우저상에서받아들일사용타입에 대해서정의한것으로, 악성코드에는다음과같이 5 가지의헤더필드가사전에정의되어있었다. */* image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwaveflash, */* image/jpeg, application/x-ms-application, image/gif, application/xaml+xml, image/pjpeg, application/x-ms-xbap, */* 57/63

text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 [ 그림 54] 의코드와같이 rand() 에의해랜덤하게 5 개의 Accept 헤더필드중하나가선택된다. [ 그림 54] Accept 헤더를선택하는알고리즘 2.6.1.1 User-Agent 헤더필드 User-Agent 헤더필드는클라이언트의브라우저가사용하는것이무엇인지정의한것으로, 다음과같이 6 가지형태가사전에정의되어있다. Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.2) Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2;.NET CLR 58/63

2.0.50727;.NET CLR 3.5.30729;.NET CLR 3.0.30729; Media Center PC 6.0) Mozilla/5.0 (Windows; U; Windows NT 5.1; ko; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8 Mozilla/5.0 (X11; U; Linux i686; ko-kr; rv:1.9.0.4) Gecko/2008111217 Fedora/3.0.4-1.fc10 Firefox/3.0.4 [ 그림 55] 의경우와같이 Case 에의한 6 개중랜덤하게 1 개를선택하게된다. [ 그림 55] User-Agent 헤더를선택하는알고리즘 2.6.1.1 Cache-Control 헤더필드 캐쉬제어와관련헤더를전송하는데, 이것은캐쉬를사용하지않도록조정하여서버에더욱부하를 주기위해시도한것으로추정된다. 하지만실제로서버에얼마나큰영향을주는지확인은되지않았 다. 다만, 이헤더자체로인해큰변화는없을것으로추정하며, 있다해도미미한것으로판단된다. 59/63

Cache-Control 헤더는항상붙는것은아니며, 붙는경우와안붙는 2 가지경우로나뉜다. 만약 Cache- Control 헤더가붙는경우는다음과같은문자열이붙는다. Cache-Control: no-store, must-revalidate 이헤더는코드상에서 5 번의 HTTP 전송시에값이홀수일때 3 회는 Cache-Control 이붙게되며, 짝수일 때는 2 회가나타난다. 그러므로 Cache-Control 이붙는경우의비중이조금더높다. 2.6.2 ICMP Flooding ICMP 는타입 8 번에코드 0 번으로일반적인 Ping 요청이다. 총 212 바이트를전송하며, 페이로드만을 보면 204 바이트이다. [ 그림 56] ICMP Flooding 을발생시키는코드 2.6.3 UDP Flooding 이번 DDoS 공격에서 UDP Flooding 은다음코드와같이랜덤한바이트의문자열을생성하여 1024 바 이트를전송한다. int cdecl sub_10004050(int a1, int a2) { 60/63

} result = socket(2, 2, 17); // 소켓생성 if(result) { sendto() 를통해서 1024(0x400) 바이트 random 문자전달 } 2.7 공격유형별분포도 3 가지 DDoS 공격유형별로발생된패킷분포를보면 HTTP 가가장많으며, [ 그림 57] 과같은수준의패 킷발생을보여주고있다 HTTP GET Flooding (81%) > ICMP Flooding (10%) = UDP Flooding (9 ~ 10%) [ 그림 57] DDoS 공격유형별분포도 코드를살펴보면 HTTP 가가장많이발생될수밖에없는데, HTTP 가 5 번, UDP 가 1 번, ICMP 가 1 번의경 우로루프를반복하게된다. 2.7.1 C&C 국가분포도 [ 그림 58] 은 ASD(AhnLab Smart Defense) 를통해파악한 C&C 국가의분포도를나타낸것이다. 한국 내 C&C 서버는확인되지않으며, 국외다양한국가에널리분포되어있는것을확인할수있다. 61/63

[ 그림 58] C&C 서버접속국가분포도 2.8 좀비 PC 발생트래픽산출 악성코드감염으로인해발생되는트래픽을산출한것으로서추산근거는공격대상 1 곳에서바라본좀 비 PC 1 대당트래픽정보를기준으로추산한것이다. 그리고이당시감염추정으로판단되는좀비 PC 의수는 31,030 대로설정하였다. (* 1 차감염으로추정되는 3 만대기준 ) 2.8.1 1,2 차공격에의한트래픽 활동좀비 PC 수별공격트래픽유입현황 ( 공격대상 1 곳기준 ) 감염 PC 수 Avg. packets/sec Avg. packet size Avg. bytes/sec Avg. Mbit/sec 1 PC 25 174 4.2 K 0.033 M 31,030 PCs 776 K - 130 M 1 G 활동좀비 1PC 당공격유형트래픽현황 ( 감염 PC 1 대 -> 공격대상 1 곳, Active Attack Traffic) 공격유형 HTTP GET Flooding Avg. packets/sec Avg. packet size Avg. bytes/sec Avg. Mbit/sec 20.43 144.522 2,952.56 0.024 62/63

ICMP Flooding 2.355 129.414 302.13 0.002 UDP Flooding 2.335 406.229 948.38 0.008 attack total 25.12 4,203.07 0.034 빨강 : TCP 포트 80 번, 파랑 : ICMP, 분홍 : UDP [ 그림 59] 시간대별 / 공격유형별트래픽분포도 63/63