#WI-13-025 2013-07-19
내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음 이번공격에서는공격시간설정등 3.20 사이버공격과유사한점들이 있으며, 흥미로운부분은 Tor 네트워크를이용해공격자는익명성을 유지하였다는것임 이번공격에사용된파일들은공격직전에컴파일되었을것으로추정되며, 이는최근우리나라를대상으로하는사이버공격의한특징으로, 사전에악성코드의노출로인해공격의실패요인을줄이고, 공격의파장을높이기위한의도로판단됨
1. 개요 이보고서는 Fortinet의 Kyle Yang이작성하여 7월 15일공개된 6.25 DNS DDoS Attack In Korea 를참고하여정리한것으로, 6월 25일오전 10시이후에발생한정부관련서버에대한 DDoS 공격을분석한것임 정부관련서버에대한당시 DDoS 공격은 DNS 서버에무작위도메인주소확인요청을 보내고, 이에대한응답을조작하여정부의주요 DNS 서버인 ns.gcc.go.kr 과 ns2.gcc.go.kr 로 응답패킷이집중되도록하여발생하였음 ns.gcc.go.kr 과 ns2.gcc.go.kr 은정부통합전산센터가관리하고있는 DNS 서버임 악성코드유포지는파일공유나다운로드를위해웹사이트에서배포하는어플리케이션을 사용하는웹하드성격의웹사이트나인터넷쇼핑몰과같이다수가접속하지만보안이 취약한웹사이트를대상으로하는경우가많음 한번공격에사용된웹사이트는일정기간이후다시공격에사용되는경우도있는데, 대표적인예로 3.20 사이버공격에사용된 sujewha.com은이전에사용된적이있었으며, 따라서사이버공격을위해악성코드유포지로사용된웹사이트는보안점검및지속적인모니터링이필요함 2. 세부내용 - 6.25 DNS DDoS 공격을위해공격자가악성코드배포지로삼은곳은 simdisk.co.kr 로, Simdisk 웹사이트는사전에공격을당해악성코드를배포하고있었음 - Simdisk 의웹사이트가배포하던악성코드는 SimDisk_setup.exe 파일이며, 스스로압축을 풀수있는 RAR 파일로, 이파일을풀면 SimDisk_setup.exe 와 SimDiskup.exe 파일두개가 들어가있음 - SimDisk_setup.exe 파일 * 이것은 2013년 6월 24일에생성된파일로, 공격직전에컴파일되었을것으로추정되며, 이는최근우리나라를대상으로하는사이버공격의한특징으로, 사전에악성코드의노출로인행공격의실패요인을줄이고, 공격의파장을높이기위한의도로판단됨 * 원격웹사이트로부터악성파일을다운받는역할을함
- 현재는 c.jpg 파일은서버에서삭제된상태라파일을다운받을수없음 * 악성코드가저장된경로 (/images/korea.c.jpg) 를보면공격자는 Simdisk 의서버를해킹한 이후유포할악성파일을서버내부에저장해두었다는것을알수있음
- c.jpg는 simdisk.exe로저장되는데, 이파일은 3개의파일 alg.exe, explorer.exe, config.ini를드롭시키는 dropper이며, 이 3개의파일은 Themida라는런타임 packer로패킹되어있음 ( 현재로서는 c.jpg 파일을구할수가없어이 3개의파일에대한분석작업을진행하지못함 ) - explorer.exe, config.ini 는 TOR 네트워크연결프로그램 ( 버전 0.2.3.25) 이며, alg.exe 는 Tor 네트워크와연결하여 DDoS payload 를다운로드하는 downloader 임 - 공격용 payload 를다운받기위해 Tor 의네트워크를이용했다는점은아주흥미로운것으로, Tor 네트워크를이용한사이버공격은추후에도사용될것으로예상됨 ( 아래는이번공격에 사용된 Tor 네트워크로, 추적이힘듬 ) http://hfc4z2pxfdmsfczp.onion/etc/ http://n3fwfxcdjfv4zxpa.onion/etc/ http://p4dxzhnlukvh6p4a.onion/etc/ http://swe4ta6k64m7vguk.onion/etc/ http://7odyldjmpzjrhsye.onion/etc/ http://vtyee6ev7gki7qxf.onion/etc/ http://rns3d52wyctfktcb.onion/etc/ http://et53n5fxxmjukgki.onion/etc/ http://u6irlnorfxnn7cqs.onion/etc/ http://snij5xfzt2qspxj2.onion/etc/ - DDoS 공격을위한파일준비가끝나면먼저디스크에존재하는파일을가상메모리에 올려사용하기위한 FileMapping Object 를체크하는데, 이부분은 3.20 사이버공격에 사용된방법과유사함 - FileMapping Object 체크후 OS 의아키텍처 (32bit / 64bit) 를확인, ~DRrandom number.tmp 파일을드롭시키고, ~DR tmp 파일을로딩한후서비스로 DLL 파일을로딩, 이 DLL 파일의서비스가시작되면 FileMapping Object 를체크함
- API 의주소를확인후통신을위해쓰레드를생성 - 통신이시작되면응답부분은 BM6W 와공격시간설정부분으로나눌수있으며, BM6W 는 바이너리에하드코딩되어있음 - 6 월 25 일 10:00 가지나면 Themida 로패킹된파일 wuauieop.exe 를드롭시키고, 이것은 DDoS 공격을수행하기위해 2 개의쓰레드를시작하는데, xxx.gcc.go.kr 로쿼리를보냄
- 이공격은 DNS Amplification DDoS라고할수있으며, 악성코드에감염됨 PC에서 DNS 서버에무작위로도메인주소에대해확인요청을보내고, 이때응답은공격의타깃이받도록하여타깃시스템에과부하현상이발생하도록하는데, 이번공격에서는약 20,000 여개의 DNS 질의가이루어졌음 - 이번 DDoS 공격이된두개의타깃은바이너리에하드코딩되어있으며, 두타깃은다음과 같이 ns.gcc.go.kr(152.99.1.10) 과 ns2.gcc.go.kr(152.99.200.6) 임 3. 기타 - Kyle Yang, 6.25 DNS DDoS Attack In Korea http://blog.fortinet.com/6-25-dns-ddos-attack-in-korea/