Detection and Response Technology for Botnets 2008. 6. 25. 정현철 hcjung@kisa.or.kr
목차 1. 봇넷개요 2. 봇넷의진화 3. 봇넷탐지및대응방안 4. 능동형봇넷탐지및대응방향 2 KRnet 2008
1. 봇넷개요 봇 (Bot), 봇넷 (Botnet)? 봇넷의특성봇넷을통한공격및피해사례발생현황 3 KRnet 2008
봇 (Bot), 봇넷 (Botnet)? 봇 (Bot) - 훼손된시스템에서동작하는종속프로세스로써, 조종자와통신 - Botmaster 또는 botherder 는악성행위를수행하도록봇들에게명령을내림 봇넷 (Botnet) : 봇들과조종자로구성된네트워크 봇넷마스터 4. 명령 / 제어 Command & Control Server 1. 최초전파 3. IRC 서버접속 5. 변종업데이트 / 공격명령 6. DDoS, 스팸발송등공격 / 봇전파 2. 취약점공격 Botnet 서버 / 호스트 4 KRnet 2008
봇넷의특성 봇넷의특성 - 봇은웜 / 바이러스, 백도어, 스파이웨어, 루트킷등다양한악성코드들의특성을복합적으로지님 - 상당히많은종류의변종이등장하여안티바이러스솔루션으로대응하기어려운상황임 - 봇넷을통해 DDoS, Ad-ware, Spyware, 스팸발송, 정보불법수집등다양한공격이가능 - 공격자에의해봇좀비로구성된봇넷을마음대로제어가가능하며, 그수법이지능화되고있음 스팸발송 스팸의 70~80% 이상이봇넷과관련 피싱사이트 봇감염시스템을피싱사이트로활용 Distributed DoS 공격 경쟁상대또는특정사이트대상공격 정보불법수집 은행계좌, 신용카드 ID, Password 등 Ad-Ware, 스파이웨어, 기타 Trojans 설치 금전적인이득을위해악성코드를설치 트래픽스니핑 키로깅 (Key Logging) 민감한정보추출 ID, Passwd 같은정보수집을위해패킷수집 5 KRnet 2008
봇넷을통한공격및피해사례 (1/2) 인터넷미래최대위협은 봇넷 (Botnet) - 가장심각한네트워크위협 : 봇넷, DDoS 공격 07 년 2 월 6 일, 2 개의루트서버가 5 시간동안공격받았고, 이에 2 월 8 일미국은공격진원지에사이버역대응공격또는실제폭탄을투여하겠다고발표 ( 전체트래픽중한국발 : 61%) Source: Worldwide Infrastructure Security Report, Arbor Networks, Sep. 2007-07 년 1 억 ~1 억 5 천컴퓨터가봇넷에감염되어공격수행에사용될것으로예상 (Vint Cerf, TCP/IP 프로토콜공동창시자 ) - 연간파악된봇넷개수는 1,200~1,400 개, 좀비의수는 50 만 ~300 만유지 (Shadowserver, 2007) - 인터넷에연결된 PC 의 11% 이상이봇에감염된좀비 PC (Damballa, 2007) - 매일마다새로운 5,000 개의악성코드가유포되고있음 (TechNewsWorld, 2007) - 봇넷 C&C 서버국가별통계 4 위 ( 시만텍리포트, 2007) : 초고속인터넷환경으로강력한공격가능 6 KRnet 2008 C&C : Command & Control
봇넷을통한공격및피해사례 (2/2) 봇넷을통한공격이증가하고있으며, 점차범죄화양상을띰 - 서비스업체에협박하여금품갈취하는사건발생증가 게임업체웹사이트를 DDoS 공격해서비스를못하게한후협박해돈을갈취한일당구속 2007 년 9 월말부터 20 여일간아이템베이등아이템거래업체서비스장애유발및현금요구협박 홍커 ( 중국해커 ), 공격안할게돈내놔, DDoS 공격으로서버를다운시키겠다고협박해받아가는상납금이연간 10 억원을넘음 (2008) - 애드웨어설치, 금융정보수집, 피싱사이트활용등금융범죄를위한정보수집으로활용 - 스팸발송의대표적인수단으로활용 (70~80% 차지 ) 온라인게임아이템거래사이트 DDoS 사례 ( 07) 2) downloads ip.txt file Anti.exe WebServer (xx.co.kr) 3) Connect to C&C 1) Attacker posts ip.txt Anti.exe C&C server 4) DDoS attack Attacker Anti.exe 7 Target KRnet 2008
발생현황 Damballa 의최근보고에따르면인터넷에연결된 PC 의 11% 이상이봇에감염된좀비 PC 임 전세계적으로 C&C 서버와악성봇은광범위하게분포하고있고특정지역적으로밀집되는양상을보임 <C&C and drones map 2007, Shadowserver.org> 8 KRnet 2008
2. 봇넷의진화 명령 / 제어방식의진화감염경로의다양화탐지우회방식 9 KRnet 2008
명령 / 제어방식의진화 (1/3) 중앙집중형명령 / 제어방식에서분산형명령 / 제어방식으로발전 중앙집중형방식에있어서, 탐지및차단을어렵게하기위해 IRC 방식에서 HTTP 방식으로전환 탐지방해 : 암호통신 (SSL) / HTTP 봇경우, 80 포트사용 / IRC 봇경우, 포트변경 / Fast-Flux 적용 명령 / 제어 IRC 서버 명령 / 제어웹서버 Bot 관리자 Domain Name 이필요하지않아, Domain Name 구입비용절약 명령 명령 / 제어 (IRC 프로토콜 ) 감염 취약호스트 명령 / 제어 (80 웹포트 ) 감염 취약호스트 참여멤버들이모두 C&C 역할을수행하여그룹에명령전파 (ex. Buddy-list) 다수의 Domain Name 확보하여 서비스중인웹서버를해킹하여 C&C 서버등록 (Fast-Flux 적용 ) C&C 서버로악용 분산제어 (Distributed control) 중앙집중형제어 중앙집중형제어 탐지및차단이어려움 암호통신 (SSL) 및포트변경 웹프로토콜 탐지 / 차단어려움 대표적인 P2P 봇넷 : Storm 대표적인 IRC 봇넷 : Rbot 대표적인 HTTP 봇넷 : Robax 10 KRnet 2008
명령 / 제어방식의진화 (2/3) 명령 / 제어를위해 2 가지이상의프로토콜을사용하는하이브리드형태로진화 - 2008 년 2 월 Damballa 에서보고된 P2P 봇넷 (MayDay Worm) - 봇클라이언트와 C&C 서버는기본적으로 HTTP 를이용하여통신 - HTTP 채널을생성하지못할경우 TCP 또는암호화된 ICMP 를이용하여봇들끼리통신 Bot 관리자 Bot 관리자 ICMP HTTP HTTP HTTP ICMP ICMP ICMP ICMP HTTP HTTP ICMP HTTP 통신채널을생성하지못할경우 ICMP ICMP 중앙집중형구조 분산형구조 11 KRnet 2008
명령 / 제어방식의진화 (3/3) 다수의중앙집중포인트 (C&C 서버 ) 가존재하는하이브리드형태로진화 - 다수의 C&C 서버는 P2P 프로토콜을이용해명령을전달받음 - 봇에감염된좀비 PC 는초기 C&C 접속목록 (Peer list) 를이용해임의의 C&C 로접속 - 특정 C&C 가탐지되더라도나머지봇넷은그대로유지됨 Bot 관리자 Servent bots Client bots 12 KRnet 2008
감염경로의다양화 MS Windows 취약점을이용한감염 인터넷웜및기존백도어를이용한감염 E-Mail 첨부파일을이용한사회공학적방법 웹서버를이용한감염 IM(MSN 등 ) 을이용한감염 클릭시자동연결 다양한제목을가지는이메일의첨부파일을이용해전파되는 Storm worm 만우절내용을담고있는메일의링크클릭시웹페이지에포함되어있는악성봇 (foolsday worm) 파일자동다운로드 13 KRnet 2008
탐지우회방식 (1/5) 봇넷탐지회피를위한다양한기술이추가됨 - C&C 서버와봇사이의통신데이타조절을통해트래픽집중형상을막음 - 특정시간동안 C&C 서버로새로운봇이접속하지않을경우이후접속하는모든봇들을차단 C&C 서버의트래픽이임계치를초과했을경우 특정시간동안새로운봇이 C&C 서버로접속하지않을경우 Bot 관리자 Bot 관리자 정상적으로명령전달 명령을전달하지않음 이후접속하는모든봇들을차단 14 KRnet 2008
탐지우회방식 (2/5) 악성코드의진화 - 악성코드변경 : 다양한변종, Packing/ 압축 / 암호화기술적용 - 악성코드지능화 : VM(Virtual Machine), 디버거, 샌드박스탐지 봇활동정지 - 감염지능화 : Stealthy Scanning 명령 / 제어서버 (IRC/HTTP 웹서버 ) Bot 관리자 다양한변종의등장 Packing/ 압축 / 암호화등을통한호스트기반탐지우회 VM/Debugger/Sand box 탐지및우회 Stealthy Scanning Botnet 1. 취약점악용 ( 취약점스캐닝 ) 명령 / 제어서버이동 (Fast-Flux) 2. Bot 다운로드 4. 참여 6. 명령 3. DNS Lookup DNS 서버 취약호스트 DNS 싱크홀우회로 봇넷공격방지및봇좀비리스트 15 파악을어렵게함 KRnet 2008 5. 명령 암호화통신 (SSL), 다양한포트사용및 HTTP 봇넷의경우, 웹포트 (80) 사용하여탐지를어렵게함 Rogue DNS 서버 (VDNS)
탐지우회방식 (3/5) VM 탐지기술 디버거탐지기술 악성봇의코드실행전 VM(Virtual Machine) 에서동작중인지확인 VM이실행중이라면누군가자신을분석하는중으로판단하여실행중지나디버깅방해 분석시간을지연시키려는목적 악성봇코드실행전디버거가실행중인지판단 디버거가실행중일경우분석지연을목적으로실행중지나디버깅방해예 ) 1. IsDebuggerPresent() API를이용 2. 직접 PEB-BeingDebugged 값확인 예 )VMWare 탐지코드예 ) IsDebuggerPresent() API를이용한디버거탐지 16 KRnet 2008
탐지우회방식 (4/5) Packing - 악성봇실행파일압축, 암호화등을통해백신프로그램의탐지우회 - Packing 된실행파일은메모리로딩시 unpacking 과정을통해복구 17 KRnet 2008
탐지우회방식 (5/5) RootKit 을사용하는악성코드 - 최근악성봇은 Rootkit 기술을이용하여감염사실은폐및백신프로그램에의한탐지우회 - 프로세스리스트, 파일리스트, 레지스트리키, 오픈포트정보등을숨김 - RootKit 을사용하는봇넷 : Storm Worm(Peacomm) List Files List Files Anti-Virus Scanner Memo.doc Sales.xls Sophos.ppt Rootkit Memo.doc Sales.xls Peacomm.exe Sophos.ppt Operating System 18 KRnet 2008
3. 신종봇넷탐지및대응방안 봇넷탐지및대응기술동향행위기반탐지기술네트워크기반탐지기술국내대응현황 P2P 봇넷완화기술 19 KRnet 2008
봇넷탐지및대응기술동향 기술적용대상 : 호스트기반 vs 네트워크기반 기술특성 : 시그니쳐기반 vs 행위기반 호스트기반 네트워크기반 시그니쳐기반 행위기반 시그니쳐 패턴부합여부 Action!!! ( 봇넷 Join, 파일삭제, 등 ) 시그니처기반 행위기반 호스트기반 분석된악성코드의패턴을이용하여탐지 알려지지않은신종,, 변종악성코드탐지가어려움 AntiVirus 솔루션 (V3, norton 등 ) 악성코드의이상행위를기반으로탐지 탐지 / 분석회피기술을사용 / 오탐의소지가있음 Sandbox(Norman, CW), Antibot(Norton) 보유비정상트래픽패턴을이용하여봇트래픽탐지 네트워크트래픽을분석하여비정상봇넷트래픽탐지네트워크 패턴을벗어나는경우,, 탐지가불가능 ( 우회하기쉬움 ) 오탐의소지가있고현재는탐지율이매우낮은수준임기반 IDS, IPS :: 주로 DDoS 공격탐지 ( 봇넷구성탐지불가 ) Peakflow(Arbor DDoS 전용 ), ), Bothunter( 공개솔루션 ) 20 HTTP/P2P 봇넷에대한탐지및대응한계 HTTP/P2P 봇넷에대한탐지및대응한계 KRnet 2008
행위기반탐지기술 - AT&T Labs 보안장비로그를이용한봇넷탐지시스템 - IDS, IPS, Firewall등의로그정보를수집 - 로그와트래픽연관분석을통해봇넷의상태 ( 호스트감염-> 봇넷구성-> 감염전파-> 공격 ) 탐지 IDS Logs 개선사항 - 실시간탐지를할수없음 - 보안장비로그에의존적임 - HTTP/P2P 신규봇넷대응방안이부족함 21 KRnet 2008
행위기반탐지기술 - Georgia Tech Bothunter - 네트워크기반의 Anomaly Detection 공개솔루션 - 봇의침투과정을 Bot Infection Dialog Model이라는일련의흐름을가진모델로정리 - 3가지센서와 IDS에독립적인다이얼로그상관관계엔진을이용하여실시간탐지가능 개선사항 - 다양한기법적용 ( 스텔스스캔, 채널암호, 명령 / 제어패턴변경등 ) 으로오탐과미탐이발생 - HTTP/P2P 신규봇넷대응방안이부족함 - 기존도메인네임웹서버를악용하는경우, 행위기반탐지가어려움 22 KRnet 2008
행위기반탐지기술 고려대학교 DNS 기반의봇넷탐지시스템 [ 고려대학교 ] - 봇넷고유의그룹행위에기반한봇넷탐지 - IRC 봇들이 C&C서버의 IP주소를얻기위해발생하는 DNS쿼리를이용 - 시간을슬롯으로나누고, 특정타임슬롯내에여러번보내진도메인네임주소리스트를저장 - 각도메인네임주소리스트로쿼리한 IP리스트들의유사도를비교 개선사항 - 사용중인웹서버도메인네임을해킹한경우탐지가어려움 23 KRnet 2008
네트워크기반탐지기술 스팸메일발송시발생하는대량의 MX 쿼리를이용한탐지 - 정상적인사용자는 Domain내의메일서버또는 ISP의메일서버를사용함 - 봇에감염된좀비 PC는스팸메일발송을위해다른 DNS서버로 MX쿼리를발생함 개선사항 - DDos공격에주로이용되는봇넷에대한탐지는어려움 - 대량의스팸메일을발생하는웜과구별할수없음 24 KRnet 2008
국내대응현황 (1/2) KISA 인터넷침해사고대응지원센터봇넷대응 : Best Practice of the World!!! - 봇C&C 정보수집 : Honeynet DNS 로그, 악성코드수집시스템, 외부사이트, 사고분석 (KrCERT/CC) - DNS RR 적용 : 주요 24 ISP/SO/ 호스팅업체, 2005년 8월이래로 6,000 domain names 이상적용 - 봇넷모니터링 / 대응 : 봇넷싱크홀네트워크관리, 각 ISP별봇감염 IP/ 봇C&C 통계 DNS Sinkhole 적용전 DNS Sinkhole 적용후 25 KRnet 2008 DNS RR : DNS Resource Record
국내대응현황 (2/2) Zombie C&C DNS RR Update Control System Zombie C&C Resolution Internet Sinkhole IP notification Sinkhole connection Zombie PCs ISP DNS 26 KRnet 2008
P2P 봇넷완화기술 P2P 연결정보를 poisoning 함으로써봇넷의활동을완화시킬수있음 - 봇넷모니터링또는봇샘플분석을통해 P2P 봇넷의정보 (Index, Perr 목록등 ) 를수집 - 봇들이검색하는 Key 에대응하는 Content 를유효하지않은값으로설정하여봇넷에전파 - 봇들은잘못된정보로인해추가악성행위에필요한데이터를전달받지못함 2. Key 에대해유효하지않은값으로 content 를수정 Original Contents Key Contents Polluted Contents Key Contents 3. Key 에해당하는 content 검색시수정된 content 를얻게됨 Key Contents Key Contents 1. Bot 들이검색하는 Key 에대한 Content 정보획득 Key Contents Key Contents Key Contents 개선사항 - P2P 봇넷을완전히무력화시킬수없음 - 하이브리드형태의명령 / 제어방식을사용하는봇넷을완화할수없음 27 KRnet 2008
4. 능동형봇넷탐지및대응방향 행위기반봇넷탐지시스템봇넷관제및보안관리시스템호스트기반능동형탐지 / 대응시스템 28 KRnet 2008
행위기반봇넷탐지시스템 그룹행위기반봇넷탐지기술개발필요 - 악성봇이형태및특성에상관없이네트워크트래픽분석을통한행위기반의봇넷탐지기술 - 다양한유형의봇넷탐지를위해봇넷고유의그룹행위를기반으로봇 C&C 및좀비리스트탐지 - 최근증가하고있는 HTTP/P2P 봇넷탐지및대응 명령 / 제어서버 DNS 명령 / 제어, 악성코드 DNS 쿼리 (C&C 접속, 악성코드다운로드, C&C 서버이주, 주기적인 Ping/Pong, DDoS 공격 봇넷탐지센서 사용자단말 명령 / 제어, 악성코드 중앙집중형봇넷 (IRC, HTTP) 봇전파 봇넷행위이벤트 (DNS 쿼리패턴, Netflow 정보 ) 봇전파 분산형봇넷 (P2P) 그룹행위기반봇넷탐지시스템 29 KRnet 2008
봇넷관제및보안관리시스템 봇넷종합관제및보안관리시스템필요 - 봇넷구성, 분포, 행동, 변동사항확인을위한시각화 / 통계 / 리포트기능 - 봇넷공격완화를위한능동형대응및보안관리기술 DNS 싱크홀 /BGP Feeding 자동관리기술 P2P 봇넷응집도완화기술 ISP 보안관제 DNS 봇넷정보 ( 봇 C&C, 좀비리스트, 변동사항등 ), 경보 DNS DNS 싱크홀, BGP Feeding 제어 DNS 싱크홀 그룹행위기반봇넷탐지시스템 탐지정보 봇넷종합관제 / 보안관리시스템 30 KRnet 2008 BGP : Border Gateway Protocol
호스트기반능동형탐지 / 대응시스템 호스트기반능동형탐지 / 대응기술필요 - 탐지우회지능형악성코드탐지및 / 분석기술 - 실시간봇의행위를모니터링할수있는기술 - 사용자측면에서대응할수있는악성코드감염통보및치료유도기술 중앙집중형봇넷 (IRC, HTTP) 분산형봇넷 (P2P) 사용자단말 호스트기반봇넷트래픽차단에이젼트 봇넷감염여부 봇감염 허니팟 봇넷위장잠입 / 실시간봇넷정보 봇넷정보 봇감염통보 / 치료유도서버 탐지우회지능형악성코드탐지 / 분석도구 위장봇기반실시간모니터링시스템 봇넷종합관제 / 보안관리시스템 31 KRnet 2008
질의 & 응답 32 KRnet 2008