블로거팁닷컴

티스토리 Best of Best 블로그


DDOS

DDoS 란 Distributed Denial of Service attack 의 약자로 “분산서비스거부 공격” 이라고 합니다. DoS는 Denial of Service, 서비스거부 공격 이라는 해킹수법의 한 종류입니다. 타겟 시스템에 공격을 가하여 해당 시스템의 리소스를 부족하게 하는 공격으로서 특정 서버(타겟)에 수많은 접속 시도를 만들어 다른 이용자들이 서비스를 이용하는 것을 방해하거나 접속이 되지 않도록 하는 수법입니다. DDoS의 가장 큰 목적은 시스템의 서비스 중단에 있습니다. 최근에는 DDoS공격을 이용해서 금품을 요구하거나 경쟁사에 공격을 가하고 손해를 끼치는 행위도 일어나고 있습니다. 이번 DDoS 공격은 2009년 7월 7일에 발생했다고 하여 7.7 DDoS 대란이라고 불리고 있습니다. DDoS가 여럿 괴롭히는군요.



이전의 DDoS공격과는 달리 이번 공격의 가장 큰 특징은 하나의 파일로 악성코드를 감염시키는 것이 아닌 여러 개의 파일로 악성코드를 감염시키는 방식이라는 점입니다.(처음에 3개의 샘플에서 20개 이상의 변종 샘플파일 존재) 또한 공격 타겟이 정해져 있고, 봇(목적지를 찾아가는 경로)의 역할을 하는 감염 PC들이 외부의 명령을 받지 않고도 예약된 시간에 입력된 타겟을 공격하도록 되어 있습니다.

7.7 DDos 대란의 원인은 악성코드라고 밝혀졌습니다. activeX에 관련된 취약점을 이용한 여러가지 감염 경로가 존재하나, 동영상에 포함된 스크립트가 실행되어 1차 감염된 서버에 접속하게되고 악성코드를 다운로드하게 되면서 설치된 것으로 확인됐습니다. 동영상 파일에 포함된 악성코드에 의하여 공격용봇을 만들었습니다. 동영상에 포함된 스크립트를 통해서 개인정보 탈취, 악성 프로그램 설치하는 방식은 이미 보고된 방식으로 P2P 사이트 등에서 확인되지 않은 자료 다운로드시 주의가 필요함을 다시 한번 입증한 사례입니다. P2P사용을 하지 않는 것이 가장 안전한 방법입니다. 이미 공격을 받아 악성코드 배포용으로 사용되어진 서버에서 악성코드를 다운로드 받으면서 사용자의 PC가 감염되기 때문에 악성코드의 배포지는 정확히 확인되지 않습니다.

☞ 악성코드는 실행시 System32(C:\Windows\System32) 폴더 내의 msiexec.exe 파일을 변경시켜 동작하게 됩니다.

DDOS

☞ msiexec.exe 파일은 Windows Installer(*.msi) 패키지로 제공되는 응용프로그램을 추가, 수정 또는 제거하기 위하여 MicroSoft에서 제공하는 윈도우 기본 응용 프로그램입니다. 악성코드가 생성하는 pxpdr.nls, uregv3.nls에서는 공격타겟이 되는 서버의 url 정보를 가지고 있으며 타겟을 IP가 아닌 URL을 통해 공격한다는 것을 알수 있습니다.
DDOS

현재 확인된 여러 가지 변종들은 다른 공격타겟에 대한 정보들을 담고 있으며 잘 알려진 국내 사이트와 미국 사이트 약 45곳을 타겟으로 하였다는 정보를 담고 있습니다. 정부기관뿐만 아니라 네이버 블로그 페이지, 농협, 옥션 등 사기업도 공격을 받았습니다.
DDOS

msiexec.exe파일을 분석한 결과물, 공격대상 URL


☞ 아래는 공격을 받은 국내 및 미국 사이트의 목록입니다. 안철수연구소까지 공격을 받았군요. ㅎㄷㄷ
DDOS

국내 주요 포털 사이트에도 공격을 가했으나 신속한 대응으로 mail.naver.com 은 mail2.naver.com으로, mail.daum.net은 mail2.daum.net 으로 URL 을 변경하여 공격을 피할 수 있었다고 합니다. 공격을 당하기 전에 미리 방지하여 피해는 막을 수 있었지만 공격이 일어나는걸 알고 급하게 URL을 변경하는 것보다 그 전에 미리 보안에 신경을 기울일수 있다면 어떨까 하는 생각이 들어요.

DDoS 공격은 사전에 방지하기는 힘들지만 공격을 실행하는 악성코드의 감염을 방지 할수는 있습니다. 백신을 이용하여 바이러스 및 악성코드를 실시간으로 잡아내서 PC 내에 잠복할 가능성 자체를 없애는 일이 중요합니다. 내 PC에만 악성코드가 설치되지 않으면 그만! 이라는 생각이 아니라 내 컴퓨터에 언제 악성코드가 잠식할 줄 모르니 항상 실시간 감지를 이용하여 해킹을 방지하도록 조그만한 노력이 필요합니다. 정보를 보호하고 실시간 감지를 이용하여 해킹에 대한 사전방지를 하는 노력이 IT강국 뿐만 아니라 보안에서도 강국이 되는 지름길이라 생각합니다.