#WI DNS DDoS 공격악성코드분석

Similar documents
<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

*2008년1월호진짜

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

untitled

[Brochure] KOR_TunA

암호내지

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

#HNS-WI 금융권및포털사이트이용자대상악성코드및공격기법분석 (v0.1 공개버전 )

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자


TGDPX white paper

ActFax 4.31 Local Privilege Escalation Exploit

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

Windows 8에서 BioStar 1 설치하기

Secure Programming Lecture1 : Introduction

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

PowerPoint 프레젠테이션

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Research & Technique Apache Tomcat RCE 취약점 (CVE ) 취약점개요 지난 4월 15일전세계적으로가장많이사용되는웹애플리케이션서버인 Apache Tomcat에서 RCE 취약점이공개되었다. CVE 취약점은 W

Contents Test Lab 홖경... 3 Windows 2008 R2 서버를도메인멤버서버로추가... 4 기존 Windows 2003 AD 홖경에서 Windows 2008 R2 AD 홖경으로업그레이드를위한사젂작업 7 기존 Windows 2003 AD의스키마확장...

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

슬라이드 0

1

Windows Server 2012

Win-Trojan/Scar U 악성코드분석보고서 Written by extr Win-Trojan/Scar U 악성코드분석보고서 Page 1 / 14

1

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

untitled

Windows 10 General Announcement v1.0-KO

DoS 공격의유형분석및탐지방법 (Monitoring and Investigation of DoS Attack) 영산대학교 사이버경찰학과 이성진

1

Microsoft Word - SKINFOSEC-CHR-026- Mass SQL Injection 탐지 우회분석 보고서.doc

Secure Programming Lecture1 : Introduction

신종파밍악성코드분석 Bolaven

4S 1차년도 평가 발표자료

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

Microsoft Word - src.doc

< F33BFF920C0CEC5CDB3DD20C4A7C7D8BBE7B0ED20B5BFC7E220B9D720BAD0BCAEBFF9BAB828C3D6C1BEBABB292E687770>

[ 악성코드상세분석보고서 ] SK 커뮤니케이션즈해킹관련상세분석보고서 nateon.exe 대응 2 팀

특허청구의 범위 청구항 1 고유한 USB-ID를 가지며, 강제 포맷이나 프로그램 삭제가 불가능한 CD영역과 데이터의 읽기, 쓰기가 가능한 일 반영역으로 분할되어 있고 상기 CD영역에 임산부 도우미 프로그램이 임산부 PC(200)에 연결되면 자동 설치 및 실행되게 탑재된

Studuino소프트웨어 설치

Endpoint Protector - Active Directory Deployment Guide

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

Security Trend ASEC Report VOL.52 April, 2014

PowerPoint 프레젠테이션

국가정보보호백서 제1장 정보환경 변화와 정보보호 정보통신기술은 우리에게 보다 나은 미래를 제공해주는 원동력이자 현대사회에서 없어서는 안 될 필수불가결한 사회기반으로 여겨지고 있다. 또한 정보통신기술은 경제 성장의 원천이 되고 있으 며 사회 시스템의 효율성을

1

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

이 지역은 '마카티'입니다 외국인이 많은 곳이죠 안녕하세요, 사장님! 특정한 욕구를 가진 외국인이 많습니다 그리고 거리를 지날 때... 마사지... 뭐라고요? 마사지... 마사지가 뭔지 짐작이 가죠 마사지... 순금 마사지보다 좋습니까? 네! 순금 마사지요? 이 거리에

vRealize Automation용 VMware Remote Console - VMware

ㅇ악성코드 분석

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

슬라이드 1

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

index 1. DOS 1.1 Definition of DoS (Denial Of Services) 1.2 DoS attack in Network 1) ICMP Flooding 2) SYN Flooding (SYNF) 3) Land Attack 2. DDOS 2.1 D

서현수

Microsoft PowerPoint - 차민석

Security Trend ASEC Report VOL.56 August, 2014

Hackthepacket WriteUp ##DoubleB## LQ. telnet 은다보여 LEQ : telnet Hint : Key is telent Password FILE : 3.Q_2(Leopardan) Sol) Idea : 힌트에따라 TELNET 프로토콜을필터링

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

Ⅱ.수사결과 붙임1 피고인별 공소사실 요지 및 처리결과 참조 Ⅲ.TV홈쇼핑 업계의 실태 및 문제점 도입목적 및 현황 TV홈쇼핑 시스템은 중소기업이 대기업과 공정하게 경쟁할 수 있는 시장을 만들어 주는 한편,양질의 제품을 개발하고 유통과정을 단순화시켜 이를 염가로 최종소

ìœ€íŁ´IP( _0219).xlsx

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

Secure Programming Lecture1 : Introduction

개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies)

ASEC REPORT VOL.79 July, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성하

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

슬라이드 1

기술문서 작성 XXE Attacks 작성자 : 인천대학교 OneScore 김영성 I. 소개 2 II. 본문 2 가. XML external entities 2 나. XXE Attack 3 다. 점검방법 3 라.

WebKnight

사용설명서를 읽기 전에 안드로이드(Android)용 아이디스 모바일은 네트워크 연결을 통해 안드로이드 플랫폼 기반의 모바일 기기에서 장치 (DVR, NVR, 네트워크 비디오 서버, 네트워크 카메라) 에 접속하여 원격으로 영상을 감시할 수 있는 프로그램입니다. 장치의 사

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

Level 학습 성과 내용 1수준 (이해) 1. 기본적인 Unix 이용법(명령어 또는 tool 활용)을 습득한다. 2. Unix 운영체계 설치을 익힌다. 모듈 학습성과 2수준 (응용) 1. Unix 가상화 및 이중화 개념을 이해한다. 2. 하드디스크의 논리적 구성 능력

네이버블로그 :: 포스트내용 Print VMw are 에서 Linux 설치하기 (Centos 6.3, 리눅스 ) Linux 2013/02/23 22:52 /carrena/ VMware 에서 l

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 3 - 유포지탐지현황 3 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 5 - 악성코드유형별비율 6 - 위협 IP/ 도메인현황 7 2

차세대 방화벽 기능 애플리케이션 컨트롤 는 차세대 보안 기술인 애플리케이션 컨트롤(Application Control) 기능을 탑재해 P2P / 웹하드 / 메신저(Instant Messenger) / SNS 등 수 천 개의 글로벌 / 국내 애플리케이션에 대해 실시간 분

목차 BUG DEQUEUE 의 WAIT TIME 이 1 초미만인경우, 설정한시간만큼대기하지않는문제가있습니다... 3 BUG [qp-select-pvo] group by 표현식에있는컬럼을참조하는집합연산이존재하지않으면결괏값오류가발생할수있습니다... 4

JVM 메모리구조

PowerPoint Template

ISP and CodeVisionAVR C Compiler.hwp

PowerPoint 프레젠테이션

1) 음운 체계상의 특징 음운이란 언어를 구조적으로 분석할 때, 가장 작은 언어 단위이다. 즉 의미분화 를 가져오는 최소의 단위인데, 일반적으로 자음, 모음, 반모음 등의 분절음과 음장 (소리의 길이), 성조(소리의 높낮이) 등의 비분절음들이 있다. 금산방언에서는 중앙

접근제어 시간은 없고, IT투자 비용이 정해져 있다면, 조금 더 스마트하게 제어하는 방법을 모색해야 한다. 그 중 하나 로 상황별 맞춤 보안 정책(Contextual security) 을 제 안한다. 상황별 맞춤 보안은 민감한 데이터와 그렇지 않은 것을 구분한 후 민감

gcloud storage 사용자가이드 1 / 17

wtu05_ÃÖÁ¾

소프트웨어설치 1. 소프트웨어설치및제거 ( 소스코드 ) 소스코드컴파일을이용한 S/W 설치 1. 소스코드다운로드 - 예 ) httpd tar.gz - 압축해제 : #tar xzvf httpd tar.gz - INSTALL 또는 README파일참조

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

5th-KOR-SANGFOR NGAF(CC)

PowerPoint Template


Transcription:

#WI-13-025 2013-07-19

내용요약 이보고서는 7 월 15 일 Fortinet 의 Kyle Yang 이작성한 6.25 DNS DDoS Attack In Korea 를참고하여작성된것임 공격대상이된 DNS 서버는 ns.gcc.go.kr 과 ns2.gcc.go.kr 로, 악성코드에 감염된좀비 PC 는 DNS 서버에대한도메인확인질의에대한응답을두 타깃으로보내지도록하는방법을이용하였음 이번공격에서는공격시간설정등 3.20 사이버공격과유사한점들이 있으며, 흥미로운부분은 Tor 네트워크를이용해공격자는익명성을 유지하였다는것임 이번공격에사용된파일들은공격직전에컴파일되었을것으로추정되며, 이는최근우리나라를대상으로하는사이버공격의한특징으로, 사전에악성코드의노출로인해공격의실패요인을줄이고, 공격의파장을높이기위한의도로판단됨

1. 개요 이보고서는 Fortinet의 Kyle Yang이작성하여 7월 15일공개된 6.25 DNS DDoS Attack In Korea 를참고하여정리한것으로, 6월 25일오전 10시이후에발생한정부관련서버에대한 DDoS 공격을분석한것임 정부관련서버에대한당시 DDoS 공격은 DNS 서버에무작위도메인주소확인요청을 보내고, 이에대한응답을조작하여정부의주요 DNS 서버인 ns.gcc.go.kr 과 ns2.gcc.go.kr 로 응답패킷이집중되도록하여발생하였음 ns.gcc.go.kr 과 ns2.gcc.go.kr 은정부통합전산센터가관리하고있는 DNS 서버임 악성코드유포지는파일공유나다운로드를위해웹사이트에서배포하는어플리케이션을 사용하는웹하드성격의웹사이트나인터넷쇼핑몰과같이다수가접속하지만보안이 취약한웹사이트를대상으로하는경우가많음 한번공격에사용된웹사이트는일정기간이후다시공격에사용되는경우도있는데, 대표적인예로 3.20 사이버공격에사용된 sujewha.com은이전에사용된적이있었으며, 따라서사이버공격을위해악성코드유포지로사용된웹사이트는보안점검및지속적인모니터링이필요함 2. 세부내용 - 6.25 DNS DDoS 공격을위해공격자가악성코드배포지로삼은곳은 simdisk.co.kr 로, Simdisk 웹사이트는사전에공격을당해악성코드를배포하고있었음 - Simdisk 의웹사이트가배포하던악성코드는 SimDisk_setup.exe 파일이며, 스스로압축을 풀수있는 RAR 파일로, 이파일을풀면 SimDisk_setup.exe 와 SimDiskup.exe 파일두개가 들어가있음 - SimDisk_setup.exe 파일 * 이것은 2013년 6월 24일에생성된파일로, 공격직전에컴파일되었을것으로추정되며, 이는최근우리나라를대상으로하는사이버공격의한특징으로, 사전에악성코드의노출로인행공격의실패요인을줄이고, 공격의파장을높이기위한의도로판단됨 * 원격웹사이트로부터악성파일을다운받는역할을함

- 현재는 c.jpg 파일은서버에서삭제된상태라파일을다운받을수없음 * 악성코드가저장된경로 (/images/korea.c.jpg) 를보면공격자는 Simdisk 의서버를해킹한 이후유포할악성파일을서버내부에저장해두었다는것을알수있음

- c.jpg는 simdisk.exe로저장되는데, 이파일은 3개의파일 alg.exe, explorer.exe, config.ini를드롭시키는 dropper이며, 이 3개의파일은 Themida라는런타임 packer로패킹되어있음 ( 현재로서는 c.jpg 파일을구할수가없어이 3개의파일에대한분석작업을진행하지못함 ) - explorer.exe, config.ini 는 TOR 네트워크연결프로그램 ( 버전 0.2.3.25) 이며, alg.exe 는 Tor 네트워크와연결하여 DDoS payload 를다운로드하는 downloader 임 - 공격용 payload 를다운받기위해 Tor 의네트워크를이용했다는점은아주흥미로운것으로, Tor 네트워크를이용한사이버공격은추후에도사용될것으로예상됨 ( 아래는이번공격에 사용된 Tor 네트워크로, 추적이힘듬 ) http://hfc4z2pxfdmsfczp.onion/etc/ http://n3fwfxcdjfv4zxpa.onion/etc/ http://p4dxzhnlukvh6p4a.onion/etc/ http://swe4ta6k64m7vguk.onion/etc/ http://7odyldjmpzjrhsye.onion/etc/ http://vtyee6ev7gki7qxf.onion/etc/ http://rns3d52wyctfktcb.onion/etc/ http://et53n5fxxmjukgki.onion/etc/ http://u6irlnorfxnn7cqs.onion/etc/ http://snij5xfzt2qspxj2.onion/etc/ - DDoS 공격을위한파일준비가끝나면먼저디스크에존재하는파일을가상메모리에 올려사용하기위한 FileMapping Object 를체크하는데, 이부분은 3.20 사이버공격에 사용된방법과유사함 - FileMapping Object 체크후 OS 의아키텍처 (32bit / 64bit) 를확인, ~DRrandom number.tmp 파일을드롭시키고, ~DR tmp 파일을로딩한후서비스로 DLL 파일을로딩, 이 DLL 파일의서비스가시작되면 FileMapping Object 를체크함

- API 의주소를확인후통신을위해쓰레드를생성 - 통신이시작되면응답부분은 BM6W 와공격시간설정부분으로나눌수있으며, BM6W 는 바이너리에하드코딩되어있음 - 6 월 25 일 10:00 가지나면 Themida 로패킹된파일 wuauieop.exe 를드롭시키고, 이것은 DDoS 공격을수행하기위해 2 개의쓰레드를시작하는데, xxx.gcc.go.kr 로쿼리를보냄

- 이공격은 DNS Amplification DDoS라고할수있으며, 악성코드에감염됨 PC에서 DNS 서버에무작위로도메인주소에대해확인요청을보내고, 이때응답은공격의타깃이받도록하여타깃시스템에과부하현상이발생하도록하는데, 이번공격에서는약 20,000 여개의 DNS 질의가이루어졌음 - 이번 DDoS 공격이된두개의타깃은바이너리에하드코딩되어있으며, 두타깃은다음과 같이 ns.gcc.go.kr(152.99.1.10) 과 ns2.gcc.go.kr(152.99.200.6) 임 3. 기타 - Kyle Yang, 6.25 DNS DDoS Attack In Korea http://blog.fortinet.com/6-25-dns-ddos-attack-in-korea/