봇넷대응기술동향 2008. 8. 27. 원유재 yjwon@kisa.or.kr
목차 1. 봇넷개요 2. 봇넷의진화 3. 봇넷탐지및대응방안 4. 능동형봇넷탐지및대응방향 2
1. 봇넷개요 봇 (Bot), 봇넷 (Botnet)? 봇넷의특성봇넷을통한공격및피해사례발생현황 3
봇 (Bot), 봇넷 (Botnet)? 봇 (Bot) : 훼손된시스템에서동작하는종속프로세스로써, 조종자와통신 봇마스터 (Botmaster) : 악성행위를수행하도록봇들에게명령을내림 봇넷 (Botnet) : 봇들과조종자로구성된네트워크 봇마스터 4. 명령 / 제어 감염 PC 명령 / 제어서버 1. 최초악성코드전파 3. 명령 / 제어서버접속 5. 악성코드업데이트 / 공격명령 6. 분산서비스공격스팸발송, 개인정보탈취등 2. 취약점공격을통한악성코드확산 Botnet 서버 / 호스트 4
봇넷의특성 웜 / 바이러스, 백도어, 스파이웨어, 루트킷등다양한악성코드들의특성을복합적으로지님 상당히많은종류의변종이등장하여안티바이러스솔루션으로대응하기어려운상황임 DDoS, Ad-ware, Spyware, 스팸발송, 정보불법수집등대부분의사이버공격이가능 공격자에의해봇넷을마음대로제어가가능하며, 그수법이지능화되고있음 스팸발송 스팸의 70~80% 이상이봇넷과관련 피싱사이트 봇감염시스템을피싱사이트로활용 Distributed DoS 공격 경쟁상대또는특정사이트대상공격 정보불법수집 은행계좌, 신용카드 ID, Password 등 Ad-Ware, 스파이웨어, 기타 Trojans 설치 금전적인이득을위해악성코드를설치 트래픽스니핑 ID, Passwd 같은정보수집을위해패킷수집 5 키로깅 (Key Logging) 민감한정보추출
봇넷을통한공격및피해사례 (1/3) 인터넷미래최대위협은 봇넷 (Botnet) - 가장심각한네트워크위협 : 봇넷, DDoS 공격 07 년 2 월 6 일, 2 개의루트서버가 5 시간동안공격받았고, 이에 2 월 8 일미국은공격진원지에사이버역대응공격또는실제폭탄을투여하겠다고발표 ( 전체트래픽중한국발 : 61%) Source: Worldwide Infrastructure Security Report, Arbor Networks, Sep. 2007-07 년 1 억 ~1 억 5 천컴퓨터가봇넷에감염되어공격수행에사용될것으로예상 (Vint Cerf, TCP/IP 프로토콜공동창시자 ) - 연간파악된봇넷개수는 1,200~1,400 개, 좀비의수는 50 만 ~300 만유지 (Shadowserver, 2007) - 인터넷에연결된 PC 의 11% 이상이봇에감염된좀비 PC (Damballa, 2007) - 매일마다새로운 5,000 개의악성코드가유포되고있음 (TechNewsWorld, 2007) - 봇넷 C&C 서버국가별통계 4 위 ( 시만텍리포트, 2007) : 초고속인터넷환경으로강력한공격가능 6 C&C : Command & Control
봇넷을통한공격및피해사례 (2/3) 봇넷을통한공격이증가하고있으며, 점차범죄화양상을띰 - 서비스업체에협박하여금품갈취하는사건발생증가 게임업체웹사이트를 DDoS 공격해서비스를못하게한후협박해돈을갈취한일당구속 2007 년 9 월말부터 20 여일간아이템베이등아이템거래업체서비스장애유발및현금요구협박 홍커 ( 중국해커 ), 공격안할게돈내놔, DDoS 공격으로서버를다운시키겠다고협박해받아가는상납금이연간 10 억원을넘음 (2008) - 애드웨어설치, 금융정보수집, 피싱사이트활용등금융범죄를위한정보수집으로활용 - 스팸발송의대표적인수단으로활용 (70~80% 차지 ) You pay me 20,000$ or your web site goes down. 7
봇넷을통한공격및피해사례 (3/3) 8
발생현황 Damballa 의최근보고에따르면인터넷에연결된 PC 의 11% 이상이봇에감염된좀비 PC 임 전세계적으로 C&C 서버와악성봇은광범위하게분포하고있고특정지역적으로밀집되는양상을보임 <C&C and drones map 2007, Shadowserver.org> 9
발생현황 Fools s day worm Storm Worm worm의변종으로 2008 년만우절을전후로발견됨 스팸메일의본문에포함된악의적인 URL 클릭시악성코드감염 4 월 3 일이후로멀티미디어코덱을배포하는내용으로웹페이지의내용이변경 --유포되는악성코드는 Foolsday.exe Foolsday.exe 에서 StormCodec.exe 에서 StormCodec.exe 로변경됨로변경됨 악성코드유포지 ( 공인 IP 사용 ) 사용자 PC Spammer ( 사성 IP 사용 ) 2 악성코드유포지접속 1 스팸메일발송 3 악성코드다운로드 Foolsday.exe 사용자 PC 4 악성코드실행 5P2P 통신을통한데이터교환 6 사용자 PC 가사설 IP 사용시 PC 내에있는메일주소로악성스팸메일발송 6 사용자 PC 가공인 IP 사용시악성코드유포지로동작 10
2. 봇넷의진화 명령 / 제어방식의진화감염경로의다양화탐지우회방식 11
명령 / 제어방식의진화 (1/3) 중앙집중형명령 / 제어방식에서 P2P 방식을사용하는분산형명령 / 제어방식으로발전 중앙집중형방식에있어서, 탐지및차단을어렵게하기위해 IRC 방식에서 HTTP 방식으로전환 탐지방해 : 암호통신, 포트변경, 명령 / 제어서버의주기적인이주등 명령 / 제어 IRC 서버 명령 / 제어웹서버 Bot 관리자 Domain Name 이필요하지않아, Domain Name 구입비용절약 명령 명령 / 제어 (IRC 프로토콜 ) 감염 취약호스트 명령 / 제어 (80 웹포트 ) 감염 취약호스트 참여멤버들이모두 C&C 역할을수행하여그룹에명령전파 (ex. Buddy-list) 다수의 Domain Name 확보하여 C&C 서버등록 중앙집중형제어 암호통신 (SSL) 및포트변경 대표적인 IRC 봇넷 : Rbot 서비스중인웹서버를해킹하여 C&C 서버로악용 중앙집중형제어 웹프로토콜 탐지 / 차단어려움 대표적인 HTTP 봇넷 : Robax 12 분산제어 (Distributed control) 모든감염 PC 가 C&C 서버로사용될수있음 대표적인 P2P 봇넷 : Storm
명령 / 제어방식의진화 (2/3) 명령 / 제어를위해 2 가지이상의프로토콜을사용하는하이브리드형태로진화 - 2008 년 2 월 Damballa 에서보고된 P2P 봇넷 (MayDay Worm) - 봇클라이언트와 C&C 서버는기본적으로 HTTP 를이용하여통신 - HTTP 채널을생성하지못할경우 TCP 또는암호화된 ICMP 를이용하여봇들끼리통신 Bot 관리자 Bot 관리자 ICMP HTTP HTTP HTTP ICMP ICMP ICMP ICMP HTTP HTTP ICMP HTTP 통신채널을생성하지못할경우 ICMP ICMP 중앙집중형구조 분산형구조 13
명령 / 제어방식의진화 (3/3) 다수의중앙집중포인트 (C&C 서버 ) 가존재하는하이브리드형태로진화 - 다수의 C&C 서버는 P2P 프로토콜을이용해명령을전달받음 - 봇에감염된좀비 PC 는초기 C&C 접속목록 (Peer list) 를이용해임의의 C&C 로접속 - 특정 C&C 가탐지되더라도나머지봇넷은그대로유지됨 Bot 관리자 Servent bots Client bots 14
감염경로의다양화 E-Mail 첨부파일을이용한사회공학적방법 Drive-by-download 를이용한감염 IM(MSN 등 ) 을이용한감염 클릭시자동연결 다양한제목을가지는이메일의첨부파일을이용해전파되는 Storm worm 15 만우절내용을담고있는메일의링크클릭시웹페이지에포함되어있는악성봇 (foolsday worm) 파일자동다운로드
탐지우회방식 (1/2) 봇넷탐지회피를위한다양한기술이추가됨 - C&C 서버와봇사이의통신데이타조절을통해트래픽집중형상을막음 - 특정시간동안 C&C 서버로새로운봇이접속하지않을경우이후접속하는모든봇들을차단 C&C 서버의트래픽이임계치를초과했을경우 특정시간동안새로운봇이 C&C 서버로접속하지않을경우 Bot 관리자 Bot 관리자 정상적으로명령전달 명령을전달하지않음 이후접속하는모든봇들을차단 Reference [1] 17 page 16
탐지우회방식 (2/2) 악성코드의진화 - 악성코드변경 : 다양한변종, 압축 / 암호화기술적용 - 악성코드지능화 : 악성코드분석도구 (Virtual Machine, 디버거, 샌드박스 ) 를탐지하여분석하지못하도록방해 - 악성코드실행숨김기능 : 악성코드가구동중이나, 실행여부가드러나지않도록숨김 (Rootkit) 자동화된도구 / 공개소스를통한다양한변종생산 악성코드분석도구를파악하여분석방해 악성코드실행여부숨김 활동정지, 분석도구공격, 분석방해 17
3. 신종봇넷탐지및대응방안 봇넷탐지및대응기술동향국내대응현황 P2P 봇넷완화기술 18
봇넷탐지및대응기술동향 기술적용대상에따라, 호스트기반과네트워크기반으로구분되며, 기술특성에따라, 시그니쳐기반과행위기반으로구분됨 호스트기반 네트워크기반 시그니쳐기반 행위기반 시그니쳐 패턴부합여부 Action!!! ( 봇넷 Join, 파일삭제, 등 ) 시그니처기반 행위기반 호스트기반 분석된악성코드의패턴을이용하여탐지 알려지지않은신종,, 변종악성코드탐지가어려움 AntiVirus 솔루션 (V3, norton 등 ) 악성코드의이상행위를기반으로탐지 탐지 / 분석회피기술을사용 / 오탐의소지가있음 Sandbox(Norman, CW), Antibot(Norton) 네트워크기반 보유비정상트래픽패턴을이용하여봇트래픽탐지 패턴을벗어나는경우,, 탐지가불가능 ( 우회하기쉬움 ) IDS, IPS :: 주로 DDoS 공격탐지 ( 봇넷구성탐지불가 ) HTTP/P2P 봇넷에대한탐지및대응한계 19 네트워크트래픽을분석하여비정상봇넷트래픽탐지 오탐의소지가있고현재는탐지율이매우낮은수준임 Peakflow(Arbor DDoS 전용 ), ), Bothunter( 공개솔루션 ) HTTP/P2P 봇넷에대한탐지및대응한계
국내대응현황 (1/2) KISA 인터넷침해사고대응지원센터봇넷대응 : Best Practice of the World!!! - 봇C&C 정보수집 : Honeynet DNS 로그, 악성코드수집시스템, 외부사이트, 사고분석 (KrCERT/CC) -ISP s DNS 서버에 DNS RR 적용 : 주요 10 ISP/IDC, 2006년이래로 6,000 domain names 이상적용 - 봇넷모니터링 / 대응 : 봇넷싱크홀네트워크관리, 각 ISP별봇감염 IP/ 봇C&C 통계 통신사업자 봇 C&C 정보, 경보, DNS RR 인터넷침해사고대응시스템 봇 C&C 정보 허니넷 악성코드감염 봇샘플 악성코드분석 보안업체 KrCERT/CC 봇 C&C 정보 국외 C&C 정보공유사이트 20 허니넷을구축하여운영중 - 취약시스템으로구성된허니팟구축 - 유입악성코드탐지및분석 ( 봇C&C) - 허니넷트래픽분석을통한봇넷탐지외부사이트를통해봇C&C 파악허니넷을통해탐지된샘플을보안업체와공유 백신업데이트지원 DNS RR : DNS Resource Record
국내대응현황 (2/2) DNS Sinkhole 적용전 DNS Sinkhole 적용후 개선사항 - HTTP/P2P 탐지 / 대응한계 (DNS 싱크홀적용이어려움 봇좀비리스트파악어려움 ) - Rogue DNS 기술을적용하여 DNS 싱크홀을우회할수있는기술이등장 -감염경로의약80% 가웹과메일임 허니팟취약시스템유입악성코드감소 (S21Sec, 2007) - 악성코드분석도구를우회하는지능형봇의지속적인증가 21
P2P 봇넷완화기술 P2P 연결정보를 poisoning 함으로써봇넷의활동을완화시킬수있음 - 봇넷모니터링또는봇샘플분석을통해 P2P 봇넷의정보 (Index, Perr 목록등 ) 를수집 - 봇들이검색하는 Key 에대응하는 Content 를유효하지않은값으로설정하여봇넷에전파 - 봇들은잘못된정보로인해추가악성행위에필요한데이터를전달받지못함 2. Key 에대해유효하지않은값으로 content 를수정 Original Contents Key Contents Polluted Contents Key Contents 3. Key 에해당하는 content 검색시수정된 content 를얻게됨 Key Contents Key Contents 1. Bot 들이검색하는 Key 에대한 Content 정보획득 Key Contents Key Contents Key Contents 개선사항 - P2P 봇넷을완전히무력화시킬수없음 - 하이브리드형태의명령 / 제어방식을사용하는봇넷을완화할수없음 22
4. 능동형봇넷탐지및대응방향 행위기반봇넷탐지시스템봇넷관제및보안관리시스템호스트기반능동형탐지 / 대응시스템 23
행위기반봇넷탐지시스템 그룹행위기반봇넷탐지기술개발필요 - 악성봇이형태및특성에상관없이네트워크트래픽분석을통한행위기반의봇넷탐지기술 - 다양한유형의봇넷탐지를위해봇넷고유의그룹행위를기반으로봇 C&C 및좀비리스트탐지 - 최근증가하고있는 HTTP/P2P 봇넷탐지및대응 명령 / 제어서버 DNS 명령 / 제어, 악성코드 DNS 쿼리 (C&C 접속, 악성코드다운로드, C&C 서버이주, 주기적인 Ping/Pong, DDoS 공격 봇넷탐지센서 사용자단말 명령 / 제어, 악성코드 중앙집중형봇넷 (IRC, HTTP) 봇전파 봇넷행위이벤트 (DNS 쿼리패턴, Netflow 정보 ) 봇전파 분산형봇넷 (P2P) 그룹행위기반봇넷탐지시스템 24
봇넷관제및보안관리시스템 봇넷종합관제및보안관리시스템필요 - 봇넷구성, 분포, 행동, 변동사항확인을위한시각화 / 통계 / 리포트기능 - 봇넷공격완화를위한능동형대응및보안관리기술 DNS 싱크홀 /BGP Feeding 자동관리기술 P2P 봇넷응집도완화기술 ISP 보안관제 DNS 봇넷정보 ( 봇 C&C, 좀비리스트, 변동사항등 ), 경보 DNS DNS 싱크홀, BGP Feeding 제어 DNS 싱크홀 그룹행위기반봇넷탐지시스템 탐지정보 봇넷종합관제 / 보안관리시스템 25 BGP : Border Gateway Protocol
호스트기반능동형탐지 / 대응시스템 호스트기반능동형탐지 / 대응기술필요 - 탐지우회지능형악성코드탐지및 / 분석기술 - 실시간봇의행위를모니터링할수있는기술 - 사용자측면에서대응할수있는악성코드감염통보및치료유도기술 중앙집중형봇넷 (IRC, HTTP) 분산형봇넷 (P2P) 사용자단말 호스트기반봇넷트래픽차단에이젼트 봇넷감염여부 봇감염 허니팟 봇넷위장잠입 / 실시간봇넷정보 봇넷정보 봇감염통보 / 치료유도서버 탐지우회지능형악성코드탐지 / 분석도구 위장봇기반실시간모니터링시스템 봇넷종합관제 / 보안관리시스템 26
질의 & 응답 27