태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2011.03.10 13:55


2011년 03월 03일 국내 특정 정부 기관 등에 DDoS 공격 트래픽이 유입되는 이상징후가 포착되면서,
관계된 기관들의 비상 근무가 시작되었고, 관련된 악성파일 샘플들이 확보되기 시작했습니다.

그에따라 각 Anti-Virus 업체 연구원들도 시시각각 바뀌는 상황을 예의주시하면서
악성파일 분석과 업데이트, 상황 모니터링을 약 1주일 넘게 해나가고 있는 상황입니다.

실제 3월 3일부터 공격 징후가 확인되었기 때문에 저는 해당 공격 명칭을 "3.3 DDoS"
라는 이름으로 트위터와 페이스북을 통해서 3월 4일 처음으로 사용하기 시작한 바 있습니다.

사용자 삽입 이미지


방송통신위원회에서는 악성파일을 유포하는 것으로 확인되는 사이트에 대한 접속 차단과
함께 DDoS 공격이 3월 3일 오전부터 시작되었다고 하는 인터뷰 내용 등의
소식을 언론에 공개하기 시작합니다.


사용자 삽입 이미지


제가 3.3 DDoS 라는 용어를 처음 사용한 이후에 주요 메이저급 보안업체의 CEO분,
연구원분들도 3월 3일부터 발생한 DDoS 공격 상황 때문이었는지 SNS 등을 통해서
3.3 DDoS 라는 용어를 동일하게 사용하기 시작합니다.

사용자 삽입 이미지


그에 따라 현재까지도 많은 Anti-Virus 업체의 홈페이지에서는 3.3 DDoS 라는
용어를 사용하고 있습니다. (가나다 순서)

1. 이스트소프트 (알약)

사용자 삽입 이미지


2. 잉카인터넷 (엔프로텍트)

사용자 삽입 이미지


3. 하우리 (바이로봇)

사용자 삽입 이미지


이후 악성파일의 분석이 어느정도 마무리 되어가면서 3.3 DDoS 라는 이름과
더불어 3.4 DDoS 라는 이름이 혼용되어 사용되기 시작하면서 다소 혼란이 야기됩니다.


그것은 바로 수집되어 분석된 샘플들을 통해서 공격 시점이 3월 4일 오전부터
스케줄링 되어 있다는 것이 확인되면서 부터입니다. 그런데 이 과정에서 대부분 매우 조심스럽고
신중했던 부분이 있습니다. 바로 3월 3일부터 실제 공격 증상이 있었다는 점입니다.

자 그럼 잠시 과거 2009년 7.7 인터넷 대란으로 돌아가 보도록 합시다.

2009년 7월 6일 오후 6시 경 퇴근 무렵 쯤에 대기업 고객사로부터
특정 사용자 컴퓨터에서 과도한 트래픽이 발생한다는 원격지원 요청이 접수되었고,
확인해 본 결과 svchost.exe 파일에 별도의 악성파일이 삽입되어 미국 아마존 사이트로
패킷 공격을 하는 것이 확인됩니다.

이 악성파일이 바로 그 다음날 국내를 공격하는 방식으로 변경되는
7.7 DDoS 용 악성파일 중 일부였습니다. 당시에는 특정 한 고객사에서 한건만
접수된 상황이었기에 DDoS(분산서비스거부) 가 아니라 단순한 DoS(서비스거부) 공격용 악성파일로 분류되었습니다.

공격자는 uregvs.nls 라는 공격 대상용 목록파일과 C&C 명령을 통해서
마음대로 조정을 하고 있었으며, 언제든지 공격 타겟을 변경할 수 있는 구조를 만들어 놨습니다.

[참고 자료]
http://blog.ahnlab.com/asec/50

사용자 삽입 이미지


지금은 7.7 DDoS 의 경우 상세 정밀 분석된 악성파일의 결과를 통해서
실제 7월 5일부터 공격이 시작된 것을 많이 알고 있기도 합니다.

공격자는 미국시간 기준으로 7월 4일(독립기념일)을 기준으로 공격을 준비한 것으로 보입니다.

악성파일의 파괴기능에 사용된 Memory of the Independence Day 문자열을 MBR 에 입력하기도 하죠.

당시 수집된 악성파일의 채증 분석자료를 통해서 DDoS 이름을
사용하는것이 일반적(?)이라면 7.7 DDoS 는
 7.5DDoS 로 재명명하여 사용하는 것이 정확할지도 모릅니다.


다만, 여기서 맹점은 국내 사이트를 공격하면서 이슈가 된 점을 들 수 있는데,
7월 7일부터 국내 유수의 사이트를 대상으로 공격이 감행되었습니다.

이를 통해서 사회 전반적으로 큰 반향을 일으켰고, 언론 등을 통해서
7.7 DDoS 라는 용어가 사용되었습니다. 당시 대부분의 일반인들은
7월 4일부터 공격이 시작되었다는 것은 거의 알지도 못하고 있는 상황이였습니다.

예컨데 가정하여 2012년 1월 1일 국내의 많은 이용자들의 컴퓨터가
DDoS 기능의 악성파일에 감염(Zombie 화)되어 특정 미국 사이트를 공격하고 있었다고 합시다.

그것을 마침 국내의 많은 보안업체들이 감지하고, 파악을 했다고 한다면
그것은 1.1 DDoS 공격으로 명명하기 어려운 조건일까요? 꼭 국내를
대상으로 공격을 해야 DDoS 라는 이름을 사용할 수 있을까요?

꼭 그렇지는 않겠지요! DDoS 라는 말 자체는 다수의 컴퓨터를 통해서
특정 웹사이트에 다량의 트래픽을 보내어 정상적인 웹 서비스를 하지 못하도록
하는 방해 공격입니다. 꼭 국내를 타겟으로만 해야 DDoS 라는 조건이 성립되는 것은 아니라는 것이지요.

바로 여기에 피해갈 수 없는 중요한 부분이 있습니다. DDoS 공격 현상은
7.7 DDoS 와 같이 징후가 포착되어 인지되었느냐? 아니었느냐? 에 따라서
그 시점에 날짜를 명명하는데 특별히 문제가 될만한 소지가 없다는 것입니다.

다시 3.3 DDoS 로 돌아와 보지요.

아직까지 2011년 3월 3일에 공격 현상이 발생한 것에 대한 이견은 없어보입니다만,
3.4 DDoS 라는 이름으로 사용하기 위해서 논리적으로 합리화되어야 하는 요소는 크게 세가지입니다.

첫 번째로는 국내 공격일이 포함된 샘플이 실제 발견되었기 때문에
3.4 DDoS 용어가 적절하다는 의견과 3월 3일의 공격은 대외적으로
알려지지 않고도 충분히 대응할 수 있는 소규모 공격(?)이었다는 점을 언급하고 있기도 합니다.

이는 반대로 3월 3일 공격이 감행된 점을 인정하는 모순적인 부분이기도 하겠지요.

다음으로 실제 공격일은 3월 4일이 맞지만 일부 감염된 사용자 컴퓨터의
날짜가 3월 3일 당시 3월 4일로 잘못 셋팅되어 일어난 잘못된 공격이었다는 점을 들고 있습니다.

확률적으로 예측해 봤을 때 시스템 날짜가 하루 앞서도록 잘못된 컴퓨터가
얼마나 존재할 수 있는지를 고려해야 할 부분이지요. 그리고 잘못된 공격이라도 피해가
발생했다면 그것은 DDoS 공격이 맞을 겁니다. 주위에 있는 컴퓨터 날짜를 한번 살펴보세요!

이 밖에도 확인하기 어렵지만, 다양하게 생각해 봐야할 부분도 있습니다.

실제 공격자가 3월 3일 공격을 감행했었을
수도 있다는 점입니다.
해당 스케줄이 포함된 악성파일은 확인되고 있지는
않지만 발견되지 않았다고 하여 반드시 존재하지 않는 것은 아닐 것이며, 공격자가
사전 테스트 목적 등으로 국지적 단발성 공격 명령을 내렸을 수도 있다는 부분입니다.

초기에는 대부분 3.3 DDoS 라는 용어를 동일하게 함께 사용하였고, 이를 통해서
특별한 혼란이 없었으나 지금은 3.3 이라는 용어와 3.4 라는 용어가 혼용되면서
다소 혼란스러워 하시는 분들이 계신 것 같아 이해를 돕고자 정리를 해보았습니다.


Posted by viruslab
보안관련소식2011.03.04 20:51


어제부터 철야 비상 대응 근무를 하면서 "3.3 DDoS" 라는 용어를 처음 사용했는데, 다른 업체분들도 동일하게 사용하기 시작해 주시니 나름 뿌듯(?)하네요!  

자 그럼 각 업체별로 수집된 14개의 악성파일 진단(명) 내용을 나름대로 정리해 봅니다. (알파벳 순서)

Alyac Anti-Virus (http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=90)

01. bobo.exe Trojan.Downloader.Agent.33D
02. host.dll Trojan.Dropper.Agent.nthost
03. meitsvc.dll Backdoor.DllBot.gen
04. ntcm63.dll Trojan.Dropper.Agent.nthost
05. ntgg55.dll Trojan.Dropper.Agent.nthost 
06. rtdrvupr.exe Trojan.Agent.hosts
07. rtdrvupe_2.exe Trojan.Agent.hosts
08. SBUpdate.exe Trojan.Downloader.Agent.33D
09. SBUpdate_2.exe Trojan.Downloader.Agent.33D
10. setup.exe Trojan.Downloader.Agent.33D
11. sfofsvc.dll Trojan.Agent.docCrypt
12. stensvc.dll Trojan.Agent.docCrypt
13. wricsvc.dll Backdoor.Dllbot.gen
14. wsfcsvc.dll Backdoor.Dllbot.gen

Hauri Anti-Virus (http://hauri.co.kr/customer/security/alert_view.html?intSeq=82&page=1)

01. bobo.exe Trojan.Win32.Downloader.11776
02. host.dll Trojan.Win32.QHost.118784
03. meitsv.dll Trojan.Win32.Generic.71008
04. ntcm63.dll Trojan.Win32.QHost.131072
05. ntgg55.dll Trojan.Win32.QHost.126976
06. rtdrvupr.exe Trojan.Win32.QHost.16384
07. rtdrvupr_2.exe Trojan.Win32.QHost.16384
08. SBUpdate.exe Trojan.Win32.Downloader.10240
09. SBUpdate_2.exe Trojan.Win32.Downloader.11776
10. setup.exe Trojan.Win32.Downloader.20480
11. sfofsvc.dll Trojan.Win32.Generic.46432
12. stensvc.dll Trojan.Win32.Generic.46432
13. wricsvc.dll Trojan.Win32.Obfuscated.40960
14. wsfcsvc.dll Trojan.Win32.Obfuscated.40960

nProtect Anti-Virus (http://erteam.nprotect.com/131)

01. bobo.exe Trojan/W32.Agent.11776.OG
02. host.dll Trojan/W32.Agent.118784.ACE
03. meitsvc.dll Trojan/W32.Dllbot.71008
04. ntcm63.dll Trojan/W32.Agent.131072.YG
05. ntgg55.dll Trojan/W32.Agent.126976.XY
06. rtdrvupr.exe Trojan/W32.Agent.16384.ALF
07. rtdrvupr_2.exe Trojan/W32.Agent.16384.ALF
08. SBUpdate.exe Trojan/W32.Agent.10240.OO
09. SBUpdate_2.exe Trojan/W32.Agent.11776.OF
10. setup.exe Trojan/W32.Agent.20480.AZR
11. sfofsvc.dll Trojan/W32.Dllbot.46432
12. stensvc.dll Trojan/W32.Agent.46416.B
13. wricsvc.dll Trojan/W32.Agent.42320
14. wsfcsvc.dll Trojan/W32.Dllbot.40960

V3 Anti-Virus (http://blog.ahnlab.com/ahnlab/1059)

01. bobo.exe Win-Trojan/Agent.11776.VK
02. host.dll Win-Trojan/Agent.118784.AAU
03. meitsvc.dll Win-Trojan/Ddosagen.71008
04. ntcm63.dll Win-Trojan/Agent.131072.WL
05. ntgg55.dll Win-Trojan/Ddosagent.126976
06. rtdrvupr.exe Win-Trojan/Ddosagen.16384
07. rtdrvupe_2.exe Win-Trojan/Ddosagen.16384
08. SBUpdate.exe Win-Trojan/Npkon.10240
09. SBUpdate_2.exe Win-Trojan/Agent.11776.VJ
10. setup.exe Win-Trojan/Ddosagen.20480
11. sfofsvc.dll Win-Trojan/Agent.46432.D
12. stensvc.dll Win-Trojan/Ddosagen.46416
13. wricsvc.dll Win-Trojan/Ddosagen.42320
14. wsfcsvc.dll Win-Trojan/Agent.40960.BOH

사용자 삽입 이미지


Posted by viruslab
보안관련소식2010.07.07 23:49


http://news.naver.com/main/read.nhn?mid=smn&sid1=101&oid=003&aid=0003329352&datetime=2010070722285029352

이와 관련해 안철수연구소 관계자는 "정확한 상황을 파악하고 있는 단계"라며 "작년 7.7 대란 때와 유사한 형태의 트래픽인 것으로 볼 때 의도적인 공격으로 추정할 수 있다"고 설명했다. 또한 "지난해 발생 때 치료되지 않고 남아있던 좀비 PC일 가능성도 있다"고 설명했다.

사용자 삽입 이미지

현재로서는 기존 7.7 DDoS 용 악성코드가 잠복기를 거친 상태에서 재활동을 하고 있는 것으로 추정되고 있습니다.
말 그대로 진짜 Zombie 녀석들이네요.

이러다간 내년까지 생존해서 재활동을 하는 녀석들이 있는것은 아닌지 우려됩니다.

실제로 한달 전인 2010년 6월 7일 7.7 DDoS 악성코드가 발송하는 것으로 알려져 있는 Spam Mail 이 유포된 것으로 목격하고 아직도 감염된 컴퓨터가 있구나 라고 생각했었는데..

http://viruslab.tistory.com/1837 



Posted by viruslab
보안관련소식2010.07.07 15:54


문종현 잉카인터넷 대응센터 팀장은 “기업들이 경기가 어려워지면 가장 먼저 보안 예산부터 줄이는 게 현실”이라고 말했다.

http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201007061802495&code=930301

내가 이런 얘기를 했던가? ㅋㅋㅋ 기억이 가물가물..

사용자 삽입 이미지


Posted by viruslab
TAG It, 디도스
보안관련소식2010.07.07 14:00


7.7 DDoS 사이버테러 1년 과제와 대응은? 이라는 주제로 한국인터넷진흥원(KISA) 김희정 원장님도 출연하셨습니다.

http://www.kbs.co.kr/radio/1radio/rcenter/

약간 랜덤한 질문을 주셔서 쪼끔 당황했네요.ㅋㅋ

이규원 아나운서님과 대화를 하게 되어서 영광이었습니다.

사용자 삽입 이미지



인터뷰 내용을 mp3 로 저장해 봤습니다. 알집으로 해제가 가능합니다.



Posted by viruslab
보안관련소식2010.07.07 09:22


디도스 1년…여전히 무방비

동영상은 아래 링크를 통해서 보실 수 있으며, 로그인 절차가 필요없습니다.

동영상이 정상적으로 나오지 않는 경우 미디어 플레이어를 최신 버전으로 업데이트하시면 문제가 해결 되실 것입니다.



사용자 삽입 이미지
Posted by viruslab
보안관련소식2010.06.29 09:20


http://www.hauri.co.kr/customer/support/hauri_notice_view.html?intSeq=199&page=1

DDoS 공격을 발생시키는 좀비 PC 예방을 위한 7계명

 1) 윈도우 및 어플리케이션의 최신 보안 패치를 적용한다.
   - DDoS 공격을 예방하기 위해서는 윈도우 운영체제 및 어플리케이션의 최신 보안 패치를

     지속적으로 업데이트하여 악성코드에 감염되지 않도록 한다.

 

  2) 하우리 바이로봇(ViRobot)제품을 설치하고 최신 버전으로 업데이트하여

    악성코드를 실시간으로 차단하자.
   - 최신 변종 바이러스에 대한 진단 및 치료가 가능한 바이로봇을 설치하여 DDoS 공격으로부터 PC를 보호하고,

     또 다른 PC로 악성코드가 확산되는 것을 방지할 수 있다.

 

  3) 정품 소프트웨어를 사용하고 웹하드/P2P와 같은 파일 공유 프로그램은 주의하여 사용한다.
   - 7·7 DDoS 대란과 같이 웹하드를 이용해 악성코드의 유포가 발생할 수 있으므로

     웹하드, P2P 등으로 공유되는 불법 프로그램(크랙, 불법 소프트웨어, 립 버전 게임 등)은 주의해야 한다.

     또한, 불법 소프트웨어는 보안 패치를 업데이트 할 수 없으므로 사용하지 말아야 한다.

 

  4) 각 포털 사이트에 가입된 로그인 계정의 패스워드를 주기적으로 변경하고

     영문, 숫자, 특수문자를 조합하여 8자리 이상으로 설정한다.
   - 아이디와 패스워드를 동일하게 사용하면 유출된 계정을 이용해 다른 사이트에 접속할 수 있으므로

     계정관리를 철저히 해야 한다.

 

  5) 발신자가 불분명 하거나 수상한 첨부 파일이 첨부된 메일은 모두 삭제한다.
   - 특정 사이트의 관리자를 위장하여 스팸메일이 대량으로 유포되고 있으므로 발신자가 불분명하거나

     수상한 첨부 파일이 첨부된 메일은 삭제한다.

 

  6) 메신저 및 SNS 사용시 첨부된 URL(단축 URL)은 함부로 클릭하지 않는다.
   - 메신저와 SNS(트위터, 페이스북), 스팸 등을 통해서 악성 URL이 유포되고 있으므로

     첨부된 URL은 함부로 클릭하지 않는다.

     특히, 단축 URL을 악용한 보안 위협이 증가하고 있어 사용자의 주의가 필요하다.

 

  7) 윈도우에 사용되는 기본공유폴더를 해제하고 공유 폴더를 읽기 권한으로 설정한다.
   - 기본공유폴더를 사용하면 파일을 편리하게 공유할 수 있으나 해킹이나 악성코드에 의해

     악의적으로 사용될 수 있고, 자신이 원하지 않는 파일이 공유될 수 있으므로 주의하여야 한다.


사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.23 10:26


다음과 같이 비씨카드 이용대금 명세서 내용처럼 위장하여 악성코드(분석중)를 설치 유도하는 형태가 발견되었습니다.

발신자 :
특정 네이버 이메일

제목 :
우리은행 BC카드 2010년06월20일 이용대금명세서입니다?

화면은 다음과 같습니다.

사용자 삽입 이미지

비씨카드 이용대금 명세서를 네이버 사용자가 보낼리는 없겠지요?

본문에 포함되어 있는 "이용대금 명세서보기" 부분을 클릭하면 다음과 같은 새로운 창이 나타납니다.

사용자 삽입 이미지

마치 nProtect 키보드 보안프로그램(KeyCrypt)처럼 사칭한 KProtect 키보드 보안 프로그램 추가 기능을 요구합니다.

사용자 삽입 이미지

허위 인증요청 화면으로 보여주며, 일부 콘텐츠 설치를 유도합니다.

사용자 삽입 이미지

KProtect 키보드 보안 프로그램 설치 화면을 보여줍니다.

사용자 삽입 이미지


해당 Active X Control 파일이 설치되면 몇 가지 파일이 생성되고, 특정 사이트로 지속적으로 접속을 시도합니다.

이러한 시도가 많아지면 (D)DoS 공격이 될 수 있습니다.

사용자 삽입 이미지

일부 접속을 시도하는 사이트가 네이버로 파악되었습니다.

현재 정상적으로 보여지지 않고 있는 것으로 보아, 공격을 받고 있는 것으로 추정됩니다.

접속시도 사이트 일부 공개합니다.

- 222.122.193.138
- 222.122.212.88
- 222.122.193.121
- 211.233.76.132
- 202.131.29.82
- 202.131.27.109
- 202.131.25.94
- 119.205.216.174
- 222.122.193.142


사용자 삽입 이미지

네이버 만화 사이트는 Stack overflow 창이 나타나고 있습니다.


현재 해당 파일은 잉카인터넷 시큐리티 대응센터에서 정밀 분석이 진행 중이며, 대외비로 취급되고 있습니다.

nProtect Anti-Virus 긴급 업데이트에 치료 기능을 추가할 예정입니다.

bccard.htm
http://www.virustotal.com/analisis/1e130c686b14da1377005cf75a70380346d98f119ce89e145662110baf3b2365-1277266638

BA10.exe - (D)DoS 공격 기능 추정 분석 중
http://www.virustotal.com/analisis/7600f71df19caab752f1262740237e28545ee18d0d3ed1eaa7a74b353814c9e3-1277223628
http://www.virustotal.com/analisis/7600f71df19caab752f1262740237e28545ee18d0d3ed1eaa7a74b353814c9e3-1277277060

BHOMailCollector.dll - 메일 주소 수집 기능 추정 분석 중
http://www.virustotal.com/analisis/2591a49e7232d3e6ec66b8a85f324488ec76581c437d1a68bbb16fe63ebb6c16-1277256950
http://www.virustotal.com/analisis/2591a49e7232d3e6ec66b8a85f324488ec76581c437d1a68bbb16fe63ebb6c16-1277271955

BA10.cab
http://www.virustotal.com/analisis/8e76a8733b91aca71771f66ea1c87512266f0ba97b21eeaf12a89c869514c6f6-1277265906

공격 대상 사이트 (변경될 수 있음)

감염된 사용자 컴퓨터에서 이메일 주소를 수집하여 12시간마다 최대 200여명에게 똑같은 메일을 발송하는 것으로 보여집니다.

이메일 웜이라고 해도 되겠네요.

- www.naver.com
- mail.naver.com
- comic.naver.com
- music.naver.com
- movie.naver.com
- photo.naver.com


nProtect 에서는 확산도가 높은 것으로 파악하여 긴급 경보(위험 4단계)를 발령하였습니다.

http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=90


nProtect Anti-Virus 패턴에 긴급 업데이트가 완료되었습니다.


발신지가 네이버에서 국내 모 언론사 아이디로 추가로 전파 중인 것이 목격되었습니다.



Posted by viruslab
보안관련소식2010.06.22 16:02


2009년 07월 07일 화요일 오후 6시경을 기점으로 청와대, 국방부, 국회 등 국내외 주요 국가기관 및 금융기관 등이 블록버스터급의 분산서비스거부(DDoS) 공격을 받고 연쇄적으로 접속 불통이 되는 초유의 인터넷 대란 사태가 시작됐다.

지난 15년간 악성코드와 관련된 일을 하면서 처음으로 경험한 대규모 사이버 위협의 신호탄이었던 것으로 기억이 생생하다. 7.7 DDoS 대란 1주기를 즈음하여 그 어느 때보다 신중하고 지혜로운 모습이 필요한 때일 것이며, 잊을 수 없었던 1년 전 과거로의 시간 여행을 떠나보고자 한다.

● 평온했던 월요일 대응 근무.. 그것은 사전 예고에 불과했다.

2009년 07월 06일 월요일 여느때와 마찬가지로 월요일은 여러가지 보안 이슈가 참 많았고, 바쁘게 하루 업무를 진행하고 있었다.

시계 초침이 오후 6시를 넘어 한참 퇴근 준비를 하고 있던 바로 그때 였다. nProtect 제품 고객사로 부터 일부 컴퓨터가 과도한 트래픽을 발생하고 있으니, 원격 접속으로 악성코드 존재 유무를 점검해 달라는 요청이 급박하게 접수되었다.

원격 접속을 통해서 해당 컴퓨터를 확인해 본 결과, 특정 파일이 미국 아마존 닷컴(Amazon.com) 사이트를 대상으로 서비스거부(DoS) 공격을 하는 것으로 분석되었다.

이전에도 이러한 형태의 악성코드는 지속적으로 목격되고 있었기 때문에 수동으로 해당 컴퓨터를 조치하고, 악성코드 샘플을 채취하여 업데이트에 추가할 수 있도록 처리를 완료 한 후 퇴근을 하였다.

● 긴박했던 7.7 DDoS 대란의 시작 절묘하게 조짐이 달랐다.

2009년 07일 07일 화요일, 전날 야간 근무로 인한 피로감이 조금 남았지만 당일 근무기간 중에는 특별한 이상 징후가 포착되지 않았고, 평상시와 같이 일반적인 보안 관제 및 대응 업무가 진행되었다. 

퇴근 후 이제 갓 2살이 되어가는 아들과 평온하고 즐거운 저녁 시간을 보내고, 잠들기 전 잠시 컴퓨터 앞에 앉았다. 특이 상황 여부를 파악하기 위해서 주요 보안 이슈 등을 모니터링하던 중 포털 등 몇몇 사이트의 접속 장애가 발생하고 있다는 정황을 포착하였다.

처음에는 장애가 발생하고 있는 사이트들의 일상적인 유지보수 정도라고 생각했지만 지속적으로 발견되는 접속 마비 장애에 이상 징후를 감지하고 새벽 5시경 부리나케 회사에 긴급 출근을 한다. 잉카인터넷(INCA Internet) 대응팀에 입사한 이후 처음으로 새벽에 출근을 감행(?)한 첫 날로 생생하게 기억이 난다.

● 강도높고 피말린 DDoS 공격, 일사분란하게 대응에 착수

2009년 07월 08일 수요일 새벽 5시 자가용을 몰아 적막한 어둠을 뚫고 숨가쁘게 회사에 도착하자마자 DDoS 상황 추이를 파악해 보았고, 그 결과 징후가 심상치 않음을 본능적으로 직감했다.

곧바로 사내 시큐리티 대응시스템에 예사롭지 않은 비상 상황을 전파함과 동시에 대응팀 전원에게 긴급 소집 지시를 내렸다.

이렇게 하여 일명 "7.7 DDoS 대란"이라고 불려지는 3박 4일간의 짧고도 길었던 잉카인터넷의 전사적 긴급 대응체계가 돌입하게 되었고, 많은 연구원들이 철야근무에 새우잠을 자면서 고군분투를 하게된다. 

하나씩 하나씩 계속해서 악성코드 변종들이 수집되고 분석되어지면서 07월 05일 고객사에 의해서 기접수되었던 파일이 7.7 DDoS 악성코드 파일 중 하나였고, 아마존 닷컴에 대한 DoS 공격이 7.7 DDoS 공격의 첫번 째 목격이었던 것을 알게 되는 순간 이미 예견되었던 지능적인 공격이었다는 점에서 "아차" 하는 마음을 한동안 떨칠 수가 없었다.

보통 7.7 DDoS 공격이라고 말하면 대부분이 2009년 07월 07일에 시작된 내용만으로 알기 쉽지만 실제로 작년 7.7 DDoS 공격자는 미국의 독립기념일(Independence Day)이었던 2009년 07월 04일(2009/07/04 02:50:16 UTC)을 타겟으로 공격을 감행한 것을 파악할 수 있으며, 한참 이전부터 치밀하게 수립된 계획으로 다양한 변종 악성코드를 전방위적으로 유포했다는 것을 알 수 있다.

7.7 DDoS 공격에 사용되었던 악성코드는 Independence 라는 Spam 성 이메일을 발송하기도 하고, Memory of the Independence Day 라는 문자열로 물리적 데이터(MBR)를 파괴 시도하였다는 점도 미국의 독립기념일과의 연계성을 증명해 주는 중요한 단서로 지목하는 부분이기도 하다. 다만, 한국 사이트에 대한 공격이 2009년 07월 07일부터 시작되었기 때문에 일반적으로 "7.7 DDoS 대란"이라는 용어를 사용하고 있는 것이다.

잉카인터넷은 금융권 및 게임회사 등에 특화화되어 서비스되고 있는 nProtect Anti-Virus 기능을 통해서 실시간으로 접속되는 다수의 사용자들에게 무료로 악성코드를 진단하고 치료해 줄 수 있도록 하여 악성코드 치료율을 높이는데 주안점을 두고 긴급 대응을 펼쳐 효과적인 대국민 보안 서비스를 제공하기도 하였다.

● 3박 4일간의 눈코 뜰새 없던 대응의 끄트머리 

2009년 07월 11일 토요일, 나흘간 쉴 새 없이 숨막히게 진행된 7.7 DDoS 공격은 어느정도 소강상태에 접어들었고, 전사적 비상대응체계도 조금씩 부분 하향 조정되었다.

이번 사태를 겪으면서 악성코드에 감염된 컴퓨터들(Zombie PC / Bot Net)이 악의적인 의도를 가진 사람들에 의해서 고의적으로 조정(C&C)이 될 경우 국가적으로 얼마나 큰 피해가 발생할 수 있는지를 여실히 보여준 중요한 사례라 할 수 있을 것이고, 가상 시나리오만으로 시사되었던 사이버 테러에 대한 잠재적 보안 위협이 어느 정도 현실화 되었다는 점도 매우 중요한 부분일 것이다.

사명감을 가진 전문 보안 인력들이 똘똘뭉쳐 모두 하나가 되어 신속한 대응을 이뤄내고 국가안보에 조금이나마 도움이 되었다는 뿌듯한 보람과 자긍심을 느끼는 좋은 기회가 되기도 하였고, 사이버 테러에 대한 경각심이 고취되었던 반면에 IT 강국인 대한민국의 허술한 보안 허점을 보여준 안타까운 현실을 뼈저리게 알게 된 계기가 되었던 것도 잊어서는 안될 것이다.

● DDoS 공격 위협 대응을 위한 3박자 갖추기

수 많은 보안 공격은 우리가 잠든 시간에도 끊임없이 시도되고 있기 때문에 좀더 효과적으로 대응하기 위해서는 다양한 노력이 절실히 필요하다. 그중에서도 개인 컴퓨터 사용자들은 악성코드에 감염되는 Zombie PC 로 전락하지 않도록 보안의식에 대한 좀더 많은 주의를 기울인다면, 7.7 DDoS 와 같은 보안불감증 피해는 사전에 충분히 예방할 수 있을 것이다.

1. 운영체제는 항시 최신 서비스 팩과 보안 패치 버전이 유지되도록 하며, MS오피스, 인터넷 익스플로러, FlashPlayer, Adobe Reader 등 주요 응용프로그램들은 항상 최신 버전으로 업데이트하여 사용한다.

2. 신뢰할 수 있는 보안업체의 ▲개인용 보안제품(Firewall, Anti-Virus)을 반드시 설치하며, ▲지속적인 최신 업데이트 유지와 실시간 감시 활성화, ▲정기적 검사 수행 등을 통해서 보안 위협 요소를 제거하고, 허용되지 않는 외부 명령을 차단하도록 한다.

3. 각종 보안 정보에 관심을 기울여 각종 Zero-Day Attack 이나 최신 보안 이슈를 통해서 신속하고 적절한 보안 대책을 강구하여 안전한 시스템을 구축하도록 한다

 

Posted by viruslab
보안관련소식2010.06.16 10:06




사용자 삽입 이미지

지난해 7월 7일 발생한 DDoS(분산서비스거부) 사태 1주년을 계기로 정보보안의 중요성을 홍보하고자 온/오프라인을 중심으로 대국민 홍보 캠페인을 다음과 같이 진행합니다.

◇ 다 음 ◇

가. 캠페인 개요
00 o 캠페인명 : No DDoS, Secure KOREA
00 o 주     관 : 지식정보보안산업협회(KISIA), 한국인터넷진흥원(KISA)
00 o 기     간 : 2010. 06. 06(일) ~ 07. 07(수)
00 o 대     상
        - 온라인 홍보 : 주요 포털사이트, 주관기관, 후원기관 및 협회 회원사 홈페이지 등에 관련 팝업 및 배너 게시
        - 오프라인 홍보 : 건물외벽 현수막 설치, 포스터 부착, 전문 일간지 기사 게재 등
00 o 후     원 : 지식경제부, 방송통신위원회, 행정안전부, Daum, Naver, Paran,
                 서울메트로, 디지털타임스, 전자신문, 금융보안연구원, 한국산업기술보호협회,
                 한국소프트웨어산업협회, 한국인터넷기업협회, 한국정보보호학회,
                 한국정보산업연합회, 한국정보통신기술협회, 한국스마트홈네트워크산업협회,
                 한국CCTV연구조합

2009. 7. 7 DDoS 공격개요
‘09년 7월4일 미국 주요사이트들을 대상으로 공격이 시작되었으며, 국내 최초공격은 7월 7일 PM6~7시경 네이버 메일 서비스에서 발견. 이후, 정부, 대기업 등을 주요대상으로 하여 7월 10일 00시까지 공격이 계속됨. “인터넷 대란 시즌2”, “7.7 DDoS 공격”으로 불림.

나. 캠페인 홈페이지
00 - http://www.kisia.or.kr/noddos



Posted by viruslab
보안관련소식2009.09.04 10:42


악성코드 분석 내용까지 있는 뉴스네요.

http://www.ebuzz.co.kr/content/buzz_view.html?ps_ccid=81577

사용자 삽입 이미지





Posted by viruslab
보안관련소식2009.09.02 09:47
보안관련소식2009.08.27 08:26


잉카‧컴투르, DDoS 방어 솔루션 DDoSCop 출시
 

 
사용자 삽입 이미지

 ▲ 잉카인터넷 주영흠 대표

 
사용자 삽입 이미지

                                                                   ▲ 잉카인터넷 장화철 부사장

정보보안업체 잉카인터넷과 DDoS 장비 업체 컴투르테크놀로지가 만나 DDoS 공격을 막기 위한 통합보안 솔루션을 선보였다.

잉카인터넷은 26일 잠시 롯데호텔 에매랄드룸에서 DDoS 방지 솔루션 신제품 출시회를 갖고 본격적이 영업에 돌입한다고 밝혔다. 양사가 이번에 선보인 제품은 'nProtect DDoSCop'으로, 잉카인터넷의 대표 보안솔루션인 엔프로텍트와 컴투르테크놀로지의 DDoS 장비가 결합된 게 특징이다.

이날 잉카인터넷의 주영흠 대표는 인사말을 통해 "최근 사이버 공격의 유형은 다양한 방식이 융복화되는 추세이기 때문에 하나의 민간 업체가 이 부분을 다 커버할 수 없는 상황"이라며 "잉카와 컴트루의 협력은 100%는 아니더라도 완벽에 가까운 DDoS 보안솔루션을 제시하기 위함에 목적이 있다"고 양사의 협력 배경을 설명했다.

이후 장화철 부사장은 '왜 잉카여야만 하는가?'라는 주제의 개회사를 통해 "천둥과 벼락 중 무엇이 더 무서운가라는 질문을 초등학생에게 던지면 천둥소리가 무섭다고 대답할 것이다"라며 "그러나 중학생이나 고등학생의 경우에는 천둥을 따라오는 벼락이 더 위험하다는 사실을 알고 있다"고 보안 영역의 우선순위에 대해 말을 꺼냈다.

이어서 장 부사장은 "정부나 국가 기관에서는 천둥소리를 막으려 노력하는데 실제로 위험한 것은 바로 벼락"이라며 "DDoS는 웹서버를 공격하는 행위가 위험한 것이 아니라 클라이언트가 좀비PC로 전락하는 것을 막는 것이 중요하고, 이러한 문제를 가장 잘 인지하고 있는 기업이 바로 잉카인터넷"이라고 강조했다.

양사가 이날 선보인 'nProtect DDoSCop'은 기타 DDoS 제품과 유사한 ▲이상 징후 탐지 ▲이상 징후 경보 ▲차단명령 업데이트 ▲악성코드 샘플분석 ▲악성코드 차단패턴 업데이트 순의 방어 패턴을 갖췄다.

이번 신제품이 기존 DDoS 장비와 프로세서스가 크게 다르지 않은 것처럼 보이지만, 그 내막을 살펴보면 제반 인프라에서의 경쟁력을 찾을 수 있다. 일단 잉카인터넷 측은 자사가 확보한 4억명의 클라이언트에 대한 중요성을 강조하고 나선 것.

잉카인터넷 측은 "잉카인터넷은 4기가의 트래픽을 감당할 수 있는 네트워크 인프라를 기반으로 전세계 4억명에 달하는 클라이언트를 확보했다"며 "국내에서만 일일 4000만건에 달하는 클라이언트 다운로드가 이뤄지고 있어 규모면에서는 세계 최고 수준"이라고 말했다.

또한 "폭넓은 클라이언트로 수집되는 정보는 잉카시큐리티대응센터로 모여 악성코드 등의 샘플을 신속히 확보할 수 있다"며 "'nProtect DDoSCop' 장비가 있었던 상황에서 7.7 대란과 같은 상황이 발생하면 72시간이 소요됐던 대응체제를 24시간 이하로 줄일 수 있었을 것"이라고 덧붙였다.


김남규 기자 ngkim@eto.co.kr
사진 / 도정환 기자dokingma@eto.co.kr
영상 / 이광진 기자mcbcast@eto.co.kr

Posted by viruslab
보안관련소식2009.08.08 13:30
보안관련소식2009.08.07 10:52
보안관련소식2009.07.14 19:32


새로운 국면이네요...

http://economy.hankooki.com/lpage/industry/200907/e2009071416595070260.htm


최근 사이버테러를 일으킨 해커 또는 해커조직이 PC에 담긴 정보목록을 빼가려 했다는 사실이 새롭게 밝혀지면서 분산서비스거부(DDoSㆍ디도스) 공격의 진짜 목적이 중요 자료를 빼돌리려 했던 것이 아니냐는 분석이 제기되고 있다. 정보목록 입수 후 디도스 공격과 좀비PC 자폭 등을 한 점으로 볼 때 이번 공격이 정보유출을 은폐하기 위한 시도일 가능성이 높다는 것이다.

◇디도스 공격은 정보 빼가기 위한 ‘위장술(?)’=경찰과 방송통신위원회는 우선 이번 디도스 공격에 사용된 악성코드가 사이트를 마비시키기 전 감염된 좀비PC에서 자료유출 시도가 먼저 있었다는 점에 주목하고 있다.

이와 관련, 해커가 먼저 PC에서 자료목록을 입수한 후 이를 은폐하기 위해 디도스 공격이라는 방법을 동원했을 가능성이 높다는 분석이 제기되고 있다. 디도스 공격에 초점이 맞춰진 사이 필요한 정보를 분석해 빼내가려 했다는 것이다. 이 경우 사이버테러의 진짜 목적은 사이트 마비를 통한 사회혼란보다는 정부나 주요 기관의 중요 정보를 타깃으로 했다는 추정이 가능해진다.

Posted by viruslab
보안관련소식2009.07.13 15:24


http://www.munhwa.com/news/view.html?no=20090713010301241520020&w=nv

한번 쯤 생각해 봐야 할 내용이네요.

사용자 삽입 이미지

이게 무슨 낭비입니까. 새로운 분석결과가 나올 때마다 국가정보원·검찰·경찰·방송통신위원회 등 관련 정부기관에 매번 따로 정보를 전해야 했어요.”(민간 백신업체 A사 연구소장)

“입시경쟁도 아닌데 각 백신업체가 신종 디도스(DDoS·분산서비스거부) 공격에 이용된 악성코드를 두서없이 제각각 분석하는 통에 충분한 대응 시간을 확보하는 데 실패했습니다.”(백신업체 B사 사장)

최근 ‘7·7 디도스 사이버테러’가 대한민국을 공포에 떨게 한 가운데, 일선 현장을 지킨 민간 백신업계가 바라본 사이버테러에 대응하는 한국 민·관 공조의 현주소다.

Posted by viruslab