태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2011.03.10 13:55


2011년 03월 03일 국내 특정 정부 기관 등에 DDoS 공격 트래픽이 유입되는 이상징후가 포착되면서,
관계된 기관들의 비상 근무가 시작되었고, 관련된 악성파일 샘플들이 확보되기 시작했습니다.

그에따라 각 Anti-Virus 업체 연구원들도 시시각각 바뀌는 상황을 예의주시하면서
악성파일 분석과 업데이트, 상황 모니터링을 약 1주일 넘게 해나가고 있는 상황입니다.

실제 3월 3일부터 공격 징후가 확인되었기 때문에 저는 해당 공격 명칭을 "3.3 DDoS"
라는 이름으로 트위터와 페이스북을 통해서 3월 4일 처음으로 사용하기 시작한 바 있습니다.

사용자 삽입 이미지


방송통신위원회에서는 악성파일을 유포하는 것으로 확인되는 사이트에 대한 접속 차단과
함께 DDoS 공격이 3월 3일 오전부터 시작되었다고 하는 인터뷰 내용 등의
소식을 언론에 공개하기 시작합니다.


사용자 삽입 이미지


제가 3.3 DDoS 라는 용어를 처음 사용한 이후에 주요 메이저급 보안업체의 CEO분,
연구원분들도 3월 3일부터 발생한 DDoS 공격 상황 때문이었는지 SNS 등을 통해서
3.3 DDoS 라는 용어를 동일하게 사용하기 시작합니다.

사용자 삽입 이미지


그에 따라 현재까지도 많은 Anti-Virus 업체의 홈페이지에서는 3.3 DDoS 라는
용어를 사용하고 있습니다. (가나다 순서)

1. 이스트소프트 (알약)

사용자 삽입 이미지


2. 잉카인터넷 (엔프로텍트)

사용자 삽입 이미지


3. 하우리 (바이로봇)

사용자 삽입 이미지


이후 악성파일의 분석이 어느정도 마무리 되어가면서 3.3 DDoS 라는 이름과
더불어 3.4 DDoS 라는 이름이 혼용되어 사용되기 시작하면서 다소 혼란이 야기됩니다.


그것은 바로 수집되어 분석된 샘플들을 통해서 공격 시점이 3월 4일 오전부터
스케줄링 되어 있다는 것이 확인되면서 부터입니다. 그런데 이 과정에서 대부분 매우 조심스럽고
신중했던 부분이 있습니다. 바로 3월 3일부터 실제 공격 증상이 있었다는 점입니다.

자 그럼 잠시 과거 2009년 7.7 인터넷 대란으로 돌아가 보도록 합시다.

2009년 7월 6일 오후 6시 경 퇴근 무렵 쯤에 대기업 고객사로부터
특정 사용자 컴퓨터에서 과도한 트래픽이 발생한다는 원격지원 요청이 접수되었고,
확인해 본 결과 svchost.exe 파일에 별도의 악성파일이 삽입되어 미국 아마존 사이트로
패킷 공격을 하는 것이 확인됩니다.

이 악성파일이 바로 그 다음날 국내를 공격하는 방식으로 변경되는
7.7 DDoS 용 악성파일 중 일부였습니다. 당시에는 특정 한 고객사에서 한건만
접수된 상황이었기에 DDoS(분산서비스거부) 가 아니라 단순한 DoS(서비스거부) 공격용 악성파일로 분류되었습니다.

공격자는 uregvs.nls 라는 공격 대상용 목록파일과 C&C 명령을 통해서
마음대로 조정을 하고 있었으며, 언제든지 공격 타겟을 변경할 수 있는 구조를 만들어 놨습니다.

[참고 자료]
http://blog.ahnlab.com/asec/50

사용자 삽입 이미지


지금은 7.7 DDoS 의 경우 상세 정밀 분석된 악성파일의 결과를 통해서
실제 7월 5일부터 공격이 시작된 것을 많이 알고 있기도 합니다.

공격자는 미국시간 기준으로 7월 4일(독립기념일)을 기준으로 공격을 준비한 것으로 보입니다.

악성파일의 파괴기능에 사용된 Memory of the Independence Day 문자열을 MBR 에 입력하기도 하죠.

당시 수집된 악성파일의 채증 분석자료를 통해서 DDoS 이름을
사용하는것이 일반적(?)이라면 7.7 DDoS 는
 7.5DDoS 로 재명명하여 사용하는 것이 정확할지도 모릅니다.


다만, 여기서 맹점은 국내 사이트를 공격하면서 이슈가 된 점을 들 수 있는데,
7월 7일부터 국내 유수의 사이트를 대상으로 공격이 감행되었습니다.

이를 통해서 사회 전반적으로 큰 반향을 일으켰고, 언론 등을 통해서
7.7 DDoS 라는 용어가 사용되었습니다. 당시 대부분의 일반인들은
7월 4일부터 공격이 시작되었다는 것은 거의 알지도 못하고 있는 상황이였습니다.

예컨데 가정하여 2012년 1월 1일 국내의 많은 이용자들의 컴퓨터가
DDoS 기능의 악성파일에 감염(Zombie 화)되어 특정 미국 사이트를 공격하고 있었다고 합시다.

그것을 마침 국내의 많은 보안업체들이 감지하고, 파악을 했다고 한다면
그것은 1.1 DDoS 공격으로 명명하기 어려운 조건일까요? 꼭 국내를
대상으로 공격을 해야 DDoS 라는 이름을 사용할 수 있을까요?

꼭 그렇지는 않겠지요! DDoS 라는 말 자체는 다수의 컴퓨터를 통해서
특정 웹사이트에 다량의 트래픽을 보내어 정상적인 웹 서비스를 하지 못하도록
하는 방해 공격입니다. 꼭 국내를 타겟으로만 해야 DDoS 라는 조건이 성립되는 것은 아니라는 것이지요.

바로 여기에 피해갈 수 없는 중요한 부분이 있습니다. DDoS 공격 현상은
7.7 DDoS 와 같이 징후가 포착되어 인지되었느냐? 아니었느냐? 에 따라서
그 시점에 날짜를 명명하는데 특별히 문제가 될만한 소지가 없다는 것입니다.

다시 3.3 DDoS 로 돌아와 보지요.

아직까지 2011년 3월 3일에 공격 현상이 발생한 것에 대한 이견은 없어보입니다만,
3.4 DDoS 라는 이름으로 사용하기 위해서 논리적으로 합리화되어야 하는 요소는 크게 세가지입니다.

첫 번째로는 국내 공격일이 포함된 샘플이 실제 발견되었기 때문에
3.4 DDoS 용어가 적절하다는 의견과 3월 3일의 공격은 대외적으로
알려지지 않고도 충분히 대응할 수 있는 소규모 공격(?)이었다는 점을 언급하고 있기도 합니다.

이는 반대로 3월 3일 공격이 감행된 점을 인정하는 모순적인 부분이기도 하겠지요.

다음으로 실제 공격일은 3월 4일이 맞지만 일부 감염된 사용자 컴퓨터의
날짜가 3월 3일 당시 3월 4일로 잘못 셋팅되어 일어난 잘못된 공격이었다는 점을 들고 있습니다.

확률적으로 예측해 봤을 때 시스템 날짜가 하루 앞서도록 잘못된 컴퓨터가
얼마나 존재할 수 있는지를 고려해야 할 부분이지요. 그리고 잘못된 공격이라도 피해가
발생했다면 그것은 DDoS 공격이 맞을 겁니다. 주위에 있는 컴퓨터 날짜를 한번 살펴보세요!

이 밖에도 확인하기 어렵지만, 다양하게 생각해 봐야할 부분도 있습니다.

실제 공격자가 3월 3일 공격을 감행했었을
수도 있다는 점입니다.
해당 스케줄이 포함된 악성파일은 확인되고 있지는
않지만 발견되지 않았다고 하여 반드시 존재하지 않는 것은 아닐 것이며, 공격자가
사전 테스트 목적 등으로 국지적 단발성 공격 명령을 내렸을 수도 있다는 부분입니다.

초기에는 대부분 3.3 DDoS 라는 용어를 동일하게 함께 사용하였고, 이를 통해서
특별한 혼란이 없었으나 지금은 3.3 이라는 용어와 3.4 라는 용어가 혼용되면서
다소 혼란스러워 하시는 분들이 계신 것 같아 이해를 돕고자 정리를 해보았습니다.


Posted by viruslab
보안관련소식2011.03.04 20:51


어제부터 철야 비상 대응 근무를 하면서 "3.3 DDoS" 라는 용어를 처음 사용했는데, 다른 업체분들도 동일하게 사용하기 시작해 주시니 나름 뿌듯(?)하네요!  

자 그럼 각 업체별로 수집된 14개의 악성파일 진단(명) 내용을 나름대로 정리해 봅니다. (알파벳 순서)

Alyac Anti-Virus (http://alyac.altools.co.kr/SecurityCenter/Analysis/NoticeView.aspx?id=90)

01. bobo.exe Trojan.Downloader.Agent.33D
02. host.dll Trojan.Dropper.Agent.nthost
03. meitsvc.dll Backdoor.DllBot.gen
04. ntcm63.dll Trojan.Dropper.Agent.nthost
05. ntgg55.dll Trojan.Dropper.Agent.nthost 
06. rtdrvupr.exe Trojan.Agent.hosts
07. rtdrvupe_2.exe Trojan.Agent.hosts
08. SBUpdate.exe Trojan.Downloader.Agent.33D
09. SBUpdate_2.exe Trojan.Downloader.Agent.33D
10. setup.exe Trojan.Downloader.Agent.33D
11. sfofsvc.dll Trojan.Agent.docCrypt
12. stensvc.dll Trojan.Agent.docCrypt
13. wricsvc.dll Backdoor.Dllbot.gen
14. wsfcsvc.dll Backdoor.Dllbot.gen

Hauri Anti-Virus (http://hauri.co.kr/customer/security/alert_view.html?intSeq=82&page=1)

01. bobo.exe Trojan.Win32.Downloader.11776
02. host.dll Trojan.Win32.QHost.118784
03. meitsv.dll Trojan.Win32.Generic.71008
04. ntcm63.dll Trojan.Win32.QHost.131072
05. ntgg55.dll Trojan.Win32.QHost.126976
06. rtdrvupr.exe Trojan.Win32.QHost.16384
07. rtdrvupr_2.exe Trojan.Win32.QHost.16384
08. SBUpdate.exe Trojan.Win32.Downloader.10240
09. SBUpdate_2.exe Trojan.Win32.Downloader.11776
10. setup.exe Trojan.Win32.Downloader.20480
11. sfofsvc.dll Trojan.Win32.Generic.46432
12. stensvc.dll Trojan.Win32.Generic.46432
13. wricsvc.dll Trojan.Win32.Obfuscated.40960
14. wsfcsvc.dll Trojan.Win32.Obfuscated.40960

nProtect Anti-Virus (http://erteam.nprotect.com/131)

01. bobo.exe Trojan/W32.Agent.11776.OG
02. host.dll Trojan/W32.Agent.118784.ACE
03. meitsvc.dll Trojan/W32.Dllbot.71008
04. ntcm63.dll Trojan/W32.Agent.131072.YG
05. ntgg55.dll Trojan/W32.Agent.126976.XY
06. rtdrvupr.exe Trojan/W32.Agent.16384.ALF
07. rtdrvupr_2.exe Trojan/W32.Agent.16384.ALF
08. SBUpdate.exe Trojan/W32.Agent.10240.OO
09. SBUpdate_2.exe Trojan/W32.Agent.11776.OF
10. setup.exe Trojan/W32.Agent.20480.AZR
11. sfofsvc.dll Trojan/W32.Dllbot.46432
12. stensvc.dll Trojan/W32.Agent.46416.B
13. wricsvc.dll Trojan/W32.Agent.42320
14. wsfcsvc.dll Trojan/W32.Dllbot.40960

V3 Anti-Virus (http://blog.ahnlab.com/ahnlab/1059)

01. bobo.exe Win-Trojan/Agent.11776.VK
02. host.dll Win-Trojan/Agent.118784.AAU
03. meitsvc.dll Win-Trojan/Ddosagen.71008
04. ntcm63.dll Win-Trojan/Agent.131072.WL
05. ntgg55.dll Win-Trojan/Ddosagent.126976
06. rtdrvupr.exe Win-Trojan/Ddosagen.16384
07. rtdrvupe_2.exe Win-Trojan/Ddosagen.16384
08. SBUpdate.exe Win-Trojan/Npkon.10240
09. SBUpdate_2.exe Win-Trojan/Agent.11776.VJ
10. setup.exe Win-Trojan/Ddosagen.20480
11. sfofsvc.dll Win-Trojan/Agent.46432.D
12. stensvc.dll Win-Trojan/Ddosagen.46416
13. wricsvc.dll Win-Trojan/Ddosagen.42320
14. wsfcsvc.dll Win-Trojan/Agent.40960.BOH

사용자 삽입 이미지


Posted by viruslab