DDoS(Distributed Denial of Service) 대란

2009.07.17 16:57마케터로 산다는 것/일상

DDOS

DDoS 란 Distributed Denial of Service attack 의 약자로 “분산서비스거부 공격” 이라고 합니다. DoS는 Denial of Service, 서비스거부 공격 이라는 해킹수법의 한 종류입니다. 타겟 시스템에 공격을 가하여 해당 시스템의 리소스를 부족하게 하는 공격으로서 특정 서버(타겟)에 수많은 접속 시도를 만들어 다른 이용자들이 서비스를 이용하는 것을 방해하거나 접속이 되지 않도록 하는 수법입니다. DDoS의 가장 큰 목적은 시스템의 서비스 중단에 있습니다. 최근에는 DDoS공격을 이용해서 금품을 요구하거나 경쟁사에 공격을 가하고 손해를 끼치는 행위도 일어나고 있습니다. 이번 DDoS 공격은 2009년 7월 7일에 발생했다고 하여 7.7 DDoS 대란이라고 불리고 있습니다. DDoS가 여럿 괴롭히는군요.



이전의 DDoS공격과는 달리 이번 공격의 가장 큰 특징은 하나의 파일로 악성코드를 감염시키는 것이 아닌 여러 개의 파일로 악성코드를 감염시키는 방식이라는 점입니다.(처음에 3개의 샘플에서 20개 이상의 변종 샘플파일 존재) 또한 공격 타겟이 정해져 있고, 봇(목적지를 찾아가는 경로)의 역할을 하는 감염 PC들이 외부의 명령을 받지 않고도 예약된 시간에 입력된 타겟을 공격하도록 되어 있습니다.

7.7 DDos 대란의 원인은 악성코드라고 밝혀졌습니다. activeX에 관련된 취약점을 이용한 여러가지 감염 경로가 존재하나, 동영상에 포함된 스크립트가 실행되어 1차 감염된 서버에 접속하게되고 악성코드를 다운로드하게 되면서 설치된 것으로 확인됐습니다. 동영상 파일에 포함된 악성코드에 의하여 공격용봇을 만들었습니다. 동영상에 포함된 스크립트를 통해서 개인정보 탈취, 악성 프로그램 설치하는 방식은 이미 보고된 방식으로 P2P 사이트 등에서 확인되지 않은 자료 다운로드시 주의가 필요함을 다시 한번 입증한 사례입니다. P2P사용을 하지 않는 것이 가장 안전한 방법입니다. 이미 공격을 받아 악성코드 배포용으로 사용되어진 서버에서 악성코드를 다운로드 받으면서 사용자의 PC가 감염되기 때문에 악성코드의 배포지는 정확히 확인되지 않습니다.

☞ 악성코드는 실행시 System32(C:\Windows\System32) 폴더 내의 msiexec.exe 파일을 변경시켜 동작하게 됩니다.

DDOS

☞ msiexec.exe 파일은 Windows Installer(*.msi) 패키지로 제공되는 응용프로그램을 추가, 수정 또는 제거하기 위하여 MicroSoft에서 제공하는 윈도우 기본 응용 프로그램입니다. 악성코드가 생성하는 pxpdr.nls, uregv3.nls에서는 공격타겟이 되는 서버의 url 정보를 가지고 있으며 타겟을 IP가 아닌 URL을 통해 공격한다는 것을 알수 있습니다.
DDOS

현재 확인된 여러 가지 변종들은 다른 공격타겟에 대한 정보들을 담고 있으며 잘 알려진 국내 사이트와 미국 사이트 약 45곳을 타겟으로 하였다는 정보를 담고 있습니다. 정부기관뿐만 아니라 네이버 블로그 페이지, 농협, 옥션 등 사기업도 공격을 받았습니다.
DDOS

msiexec.exe파일을 분석한 결과물, 공격대상 URL


☞ 아래는 공격을 받은 국내 및 미국 사이트의 목록입니다. 안철수연구소까지 공격을 받았군요. ㅎㄷㄷ
DDOS

국내 주요 포털 사이트에도 공격을 가했으나 신속한 대응으로 mail.naver.com 은 mail2.naver.com으로, mail.daum.net은 mail2.daum.net 으로 URL 을 변경하여 공격을 피할 수 있었다고 합니다. 공격을 당하기 전에 미리 방지하여 피해는 막을 수 있었지만 공격이 일어나는걸 알고 급하게 URL을 변경하는 것보다 그 전에 미리 보안에 신경을 기울일수 있다면 어떨까 하는 생각이 들어요.

DDoS 공격은 사전에 방지하기는 힘들지만 공격을 실행하는 악성코드의 감염을 방지 할수는 있습니다. 백신을 이용하여 바이러스 및 악성코드를 실시간으로 잡아내서 PC 내에 잠복할 가능성 자체를 없애는 일이 중요합니다. 내 PC에만 악성코드가 설치되지 않으면 그만! 이라는 생각이 아니라 내 컴퓨터에 언제 악성코드가 잠식할 줄 모르니 항상 실시간 감지를 이용하여 해킹을 방지하도록 조그만한 노력이 필요합니다. 정보를 보호하고 실시간 감지를 이용하여 해킹에 대한 사전방지를 하는 노력이 IT강국 뿐만 아니라 보안에서도 강국이 되는 지름길이라 생각합니다.

 

  • 프로필사진
    Favicon of http://ddoza.tistory.com BlogIcon 또자쿨쿨2009.07.17 18:19

    얼마전에 온타운도 DDoS계열의 Flooding 공격을 받은 적이 있습니다.
    어질어질합니다. -_ -;;;;

  • 프로필사진
    Favicon of http://beautyguide.tistory.com/ BlogIcon 뷰티가이드2009.07.17 20:53

    감히 안철수연구소를!!-_-+++

  • 프로필사진
    어신려울2009.07.17 22:37

    아우님 잘 지내는가 ...
    소식도 없고 사는게 바쁜모양이지...

  • 프로필사진
    Favicon of https://seeyastory.com BlogIcon 빈사이트2009.07.17 23:00 신고

    제가 자주 플레이하는 GTA 산안드레스 멀티 서버도 1년 내내 DDOS에 시달렸습니다. -_-;
    그래서 누구보다 DDOS의 공포를 잘 알지요.

    뉴스보면서 정말 섬뜩하더군요. 흑..

  • 프로필사진
    Favicon of http://www.hansfamily.kr BlogIcon 마래바2009.07.17 23:09

    캬~~ IT 보안 분야 글까지,, 역시 멋지십니다.
    자주 못 인사드려 죄송,. 안녕하실걸로 믿고,.. ^^;;

    • 프로필사진
      Favicon of https://bloggertip.com BlogIcon 블로그의 신 Zet2009.07.18 08:23 신고

      저도 자주 인사드리지 못했는데요.
      오늘 하루도 건강하시구요.
      행복한 하루하루 되시길 바래요, 마래바님!

  • 프로필사진
    Favicon of http://auxo.co.kr BlogIcon 아우크소2009.07.18 00:56

    정말 국내사이트도 많은 공격을 받았네요
    저정도로 많을줄은 몰랐었는데....

  • 프로필사진
    Favicon of https://nabibom.tistory.com BlogIcon 마루.2009.07.19 01:56 신고

    배후가 나왔나요? 저도 컴퓨터 포멧된다던 다음날 컴 고장나서 디도스걸렸었나 했는데 접촉불량 이었어요..어이가 없었네요..ㅋㅋㅋ

  • 프로필사진
    Favicon of http://jlfe.pe.kr BlogIcon sketch2009.07.20 20:27

    안녕하세요. 제트님. 트랙백 감사합니다.

    이번 일 겪으면서 많이 배우게 되네요. 개인 보안관리도, 자료관리도 더 신경쓰게 됩니다. ^^

  • 프로필사진
    Favicon of http://fruitfulfie.tistory.com BlogIcon 열매맺는나무2009.07.21 01:08

    텔레비젼 뉴스를 보다보니 백신을 이용하면 돈이 많이 드는줄 알고 있는 사람들도 예상외로 많았습니다.
    이젠 내 컴퓨터를 지키는 일이 애국하는 길이 되어버린 시대가 되었습니다.
    앞으로는 컴퓨터 뿐 아니라 핸드폰도 문제가 될 것 같군요.

  • 프로필사진
    Favicon of http://webnbizr.com BlogIcon 웹앤비저2009.07.21 16:56

    좋은생각이십니다.
    그러나 PC방이 문제죠. 모든 PC방의 PC는 모두 봇이라고 보면 된다고 하니 참 문젭니다.