태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'ddos'에 해당되는 글 30건

  1. 2010.07.13 7.7 DDoS 이젠 관심 대상 기간이 아니다?
  2. 2010.07.08 1년간 생존하고 있는 Zombie PC 점검이 필요합니다.
  3. 2010.07.07 안철수연구소 "의도적 디도스 공격 가능성" (2)
  4. 2010.07.05 지난해 DDoS공격, 北 진원지라는 증거 없어
  5. 2010.06.29 일타쌍피 DDoS 공격 첫 등장
  6. 2010.06.23 네이버 DDoS 공격 최초 보고 - 우리은행 BC카드 이용대금명세서로 위장한 이메일 주의 (14)
  7. 2010.06.22 7.7 DDoS 공습 1주기에 즈음한 과거로의 시간 여행
  8. 2010.06.17 서울시 홈페이지에 중국발 3차 DDoS 공격
  9. 2010.06.16 SGA "중국발 DDoS 공격 문제없다"
  10. 2010.06.16 KISIA No DDoS 홍보 캠페인 진행합니다.
  11. 2010.06.15 트위터 용량초과 문제가 DDoS 공격 때문인가?
  12. 2010.06.15 이스트소프트 중국발 DDoS 공격 가능성 감지 뉴스입니다.
  13. 2010.06.10 북, 대남 사이버공격 징후 포착 - 뉴데일리 뉴스
  14. 2010.06.10 korea.go.kr DDoS 공격 보안뉴스 1보 ~ 4보 정리
  15. 2010.06.10 korea.go.kr 어제 중국발 DDoS 공격 발생 (3)
  16. 2010.06.07 7.7 DDoS 악성코드가 보낸 메일 수신
  17. 2009.09.09 Possible DDOS on gov.au sites starting tonight?
  18. 2009.09.04 DDoS 막을수 없었나
  19. 2009.09.02 이러다 DDoS에 또 당할라
  20. 2009.08.31 "D-도스 테러, 김정은 주도 사이버부대서 자행"
  21. 2009.08.27 잉카인터넷, "DDoS 방어에서 치료까지 한 번에 해결"
  22. 2009.08.17 새로운 DDoS? (3)
  23. 2009.08.08 방송통신위, '디도스' 주말 공격 주의 경고
  24. 2009.08.07 디도스 공격, 실제 전쟁 연장전이었다??
  25. 2009.08.07 DDoS 대응센터?
  26. 2009.07.13 'DDoS 공격' 주모자는 누구?…"치밀하게 준비"
  27. 2009.07.09 [DDoS] 7월 9일 6시 Attack
  28. 2009.07.09 [DDoS] netlmgr.dll 변종 추가 발견 (1)
  29. 2009.07.08 [DDoS] 국내외 주요 사이트 공격 피해 - 사이버 테러 (5)
  30. 2009.06.01 [NEWS] 중국발 최대 DDoS 공격, 잡고 보니 한국인 (2)
보안관련소식2010.07.13 11:23


지난 주 7월 7일은 새로운 공격 이슈로 인한 특별 대응 상황이 발생하지는 않았고, 작년에 잔류했던 일부 악성코드의 재활동에 의해서 예상하지 못한 부분의 소규모 DDoS 공격이 재발하는 문제 처리와 전용백신 배포 안내 등의 긴급 대응 등이 있었습니다.

사용자 삽입 이미지

아울러 조금 전 방송통신 위원회에서는 사이버 위기 경보 단계를 "관심"에서 "정상"으로 낮추었네요.

그럼 작년에 치밀하게 Digital Zombie 군단을 준비하고 다양한 Command and Control(C&C) 명령 기지를 구축했던 DDoS Attacker 들은 금번 상황에 대해서 어떻게 지켜봤을까 하는 생각을 잠시 해봤습니다.

보통 사이버테러 적인 공격 성향을 짐작하고 사전에 준비하기 위해선 예상 가상 시나리오 등을 도입하여 미리 공격자의 행동과 심리를 충분히 분석, 예측 함과 동시에 주요 표적이 될 만한 곳과 취약 지점에 대한 만반의 대비 태세를 갖추도록 하겠지요.

역지사지 자세로 방어 입장이 공격 입장이 된다면 사이버 범죄자들의 공격 심리를 파악할 수도 있고, 방어자기 쉽게 생각하지 못하거나 예상 범위에 전혀 대상이 되지 않았던 곳들도 모의 훈련 등에 포함시키기도 하고요.

사용자 삽입 이미지

가끔 범죄 스릴러 등의 영화의 한 장면을 보면 작은 증거들이 범죄자 검거에 결정적 단서로 사용되는 경우를 종종 보게 되듯이, 사이버 범죄에서도 이러한 부분이 무시되지 못한다고 볼 수 있을 듯 싶습니다.

실제로 Anti-Virus 제품에서 악성코드 진단 등에 사용하는 Heuristic, Generic Detection 접근법 역시 알려진 악성코드 파일의 구조 형식이나 활동 변수 조건 등을 탑재하여 기존의 Pattern 구조에 존재하지 않았던 새로운 악성코드를 사전 방역(Proactive)하는 개념이 있고, 이것은 기존에 보고되었던 다양한 단서(변수)의 집합체를 통해 점점 만족스럽고 신뢰할 수 있는 해답을 찾기 위한 일련의 과정이라고 볼 수 있겠지요.

도망 중인 범죄자의 몽타주(Montage)를 이용하거나, DNA 나 지문 추출 등을 통해서 범죄자 추적에 활용하는 방식이 매우 흡사하지 않나 싶기도 하네요. 반대로 범죄자들은 자신의 얼굴 노출을 막기 위해서 가면을 쓰거나 변장을 하고, 지문 노출 등을 피하기 위해서 장갑 등을 사용하지요.

악성코드 들도 자신의 탐지를 우회하기 위해서 암호화를 하거나 압축을 하거나 하는 등의 행동을 유사하게 하고 있지요.

사이버 범죄가 점차 지능화, 고도화 될 수록 방어자의 입장은 공격자에게 쉽게 노출 될 수 있는 것이 현실이고, 악성코드 변종이 지속적으로 출몰하는 이유가 되는 부분이기도 할 것입니다.

사용자 삽입 이미지

그렇다면 공격자가 치명적인 사이버 위협을 가하기 위하여 어떻게 공격 스케줄을 결정하고 행동에 이행할 것인가에 초점을 맞출 필요가 있지는 않을까요?

작년 7.7 DDoS 사례를 뒤돌아 본다면 좋은 교훈이 될 만한 사례가 아닐까 싶습니다.

그 동안 다양한 루트를 통해서 많은 악성코드들이 유포된 바 있지요. 그 중에서 Web 을 통한 악성코드 유포 방식은 가장 유행하고 있고, 단시간에 많은 악성코드를 불특정 다수에게 신속하게 감염시킬 수 있으니깐요.

그러나 이미 발견되었거나 보고되었던 방식을 쓴다면 악성코드는 쉽게 감지되고 예견될 수 있을 것입니다. 그렇기 때문에 공격자는 방어자가 쉽게 눈치채지 못하는 새로운 방식을 준비하고 도입하게 되겠지요.

2009년 7.7 DDoS 기능을 탑재한 악성코드는 서울과 부산의 특정 모 웹하드 관련 프로그램을 불법적으로 변경하여 정상 서비스를 수행하는 사용자들에게 DoS 기능을 탑재한 악성코드를 무차별적으로 유포한 것으로 알려져 있듯이 말이죠. 사고 이전에 보안 업체가 일반 웹하드 프로그램까지 관제하고 분석하지는 않았다는 점에서 깜짝 놀란 부분이기도 합니다.


자 그렇다면.. 7.7 DDoS 1주년이 지난 지금 이 무렵.. 공격자가 새로운 공격을 감행한다면 어떤 상황이 발생할까요?

아마 허를 찔리는 상황이 발생하지는 않을까요? 하지만 우리의 방어자들도 그리 어리숙하진 않지요!


Posted by viruslab
보안관련소식2010.07.08 09:42


작년 7.7 DDoS 공격용 악성코드가 1년간 의도적이지 않은 잠복기를 거쳐 재활동을 하고 있습니다.

관리가 소홀한 서버에 감염이 되어 있거나, 사용자의 보안 불감증으로 인한 악성코드의 생존이라고 보고 있는데요.

일부 네트워크 업체의 관제 상황 내용을 보면 어제 약 900여개의 컴퓨터가 악성코드에 감염된 것이 확인되었다고 합니다.

또, 대체로 국내 IP 주소지를 보유하고 있으며, 시간에 따라 조금씩 증가하고 있다고 하니, 많은 사람들의 관심이 필요한 시기인 듯 싶습니다.

모두 모두 최신 Anti-Virus 제품으로 악성코드 존재 여부 검사를 해보시길 당부드립니다.

어제 저녁에 이어서 오늘도 공격이 진행될 것으로 예상되며, 작년에 비해서는 미비한 공격이 될 것이라고 예측하고 있습니다.

사용자 삽입 이미지

자료 화면 출처 - 하우리


SBS 뉴스 - 디도스(DDoS) 대란 꼭 1년 만에 청와대 등 또 공격

방송 화면에 제 뒷 모습도 잠깐 나옵니다.





Posted by viruslab
TAG ddos, It, 하우리
보안관련소식2010.07.07 23:49


http://news.naver.com/main/read.nhn?mid=smn&sid1=101&oid=003&aid=0003329352&datetime=2010070722285029352

이와 관련해 안철수연구소 관계자는 "정확한 상황을 파악하고 있는 단계"라며 "작년 7.7 대란 때와 유사한 형태의 트래픽인 것으로 볼 때 의도적인 공격으로 추정할 수 있다"고 설명했다. 또한 "지난해 발생 때 치료되지 않고 남아있던 좀비 PC일 가능성도 있다"고 설명했다.

사용자 삽입 이미지

현재로서는 기존 7.7 DDoS 용 악성코드가 잠복기를 거친 상태에서 재활동을 하고 있는 것으로 추정되고 있습니다.
말 그대로 진짜 Zombie 녀석들이네요.

이러다간 내년까지 생존해서 재활동을 하는 녀석들이 있는것은 아닌지 우려됩니다.

실제로 한달 전인 2010년 6월 7일 7.7 DDoS 악성코드가 발송하는 것으로 알려져 있는 Spam Mail 이 유포된 것으로 목격하고 아직도 감염된 컴퓨터가 있구나 라고 생각했었는데..

http://viruslab.tistory.com/1837 



Posted by viruslab
보안관련소식2010.07.05 17:36


http://www.cbs.co.kr/nocut/Show.asp?IDX=1517331

한국내 해커들이 범인?

선벨트 연구원에 이어 이번에는 시큐어웍스 군요.

"가만히 있으면 중간이라도 간다는 말이 생각나는군요!"

예전에 작성했던 아래 내용이 새삼 기억이 나는군요.




사용자 삽입 이미지

Posted by viruslab
TAG ddos, It, 인터넷
보안관련소식2010.06.29 10:11


사용자 삽입 이미지

해커들이 분산서비스거부(DDoS) 공격에 스팸 메일의 일종인 ‘매스 메일러 웜(Mass Mailer Worm)’을 사용한 새로운 유형의 DDoS 공격기법을 시도, 주목된다. ‘매스 메일러 웜’은 전자 우편의 첨부 파일로 복사본(악성코드)을 첨부해 감염시 급속한 확산을 시도하는 스팸메일로 해커들은 그동안 DDoS 공격시 전용 프로그램을 활용해왔다.

29일 업계에 따르면 해커들이 평소 친분이 있는 사람 등이 송신자인 것처럼 위장한 ‘매스 메일러웜’을 유포, 이를 열어본 수신자 PC를 감염시킨 후 동일한 스팸 메일을 재유포하는 데 그치지 않고 특정 사이트를 DDoS 공격하는 좀비 PC로 활용하기 시작했다.

실제, 최근 유포된 비씨카드 이메일 카드 명세서를 위장한 이메일은 ‘매스 메일러 웜’으로 사용자 PC를 감염시킨 후 같은 내용의 스팸 메일을 발송하는 동시에 네이버를 타깃으로 DDoS 공격했다. 보안 업체들은 이러한 사이버 공격 사례는 국내에서 처음 발견된 것으로 지적했다. 

경찰청 사이버수사대는 이번 네이버 웹사이트를 대상으로 좀비 PC에 공격 명령을 내린 해커의 C&C(Command & Control) 서버를 대상으로 사이버 수사에 나선 것으로 전해졌다.

잉카인터넷은 이번 비씨카드를 위장한 이메일에 감염된 PC에서 12시간 안에 200여개의 이메일을 수집해 재배포하고 DDoS공격을 개시한다고 분석했다.

잉카인터넷 측은 “12시간으로 공격 시기를 맞춰놓은 것은 공격자가 들키지 않기 위해 간격을 둔 것으로 파악된다”며 “해커가 메스 메일러 웜을 배포하고 공격주기를 짧게 설정했다면 제 2의 7.7 DDoS 대란을 일으킬 가능성도 충분하다”고 지적했다.

잉카인터넷 보안연구소 문종현 팀장은 “이번에 발견된 비씨카드 위장 악성코드 메일의 가장 큰 특징은 국내 사용자들이 신뢰하는 비씨카드란 카드사를 이용하면서 대표 포털인 네이버를 공격한 점 등으로 미뤄 해커가 치밀하게 계획된 사이버 공격”이라고 설명했다.



기자분이랑 전화상으로 인터뷰를 했는데, 제 2의 7.7 DDoS 대란 얘기는 안했는데^^ 뭐 이래서 인터뷰는 생방송이 좋은 것 같네요.

근데 기사 제목이.. 좀^^


Posted by viruslab
신종악성코드정보2010.06.23 10:26


다음과 같이 비씨카드 이용대금 명세서 내용처럼 위장하여 악성코드(분석중)를 설치 유도하는 형태가 발견되었습니다.

발신자 :
특정 네이버 이메일

제목 :
우리은행 BC카드 2010년06월20일 이용대금명세서입니다?

화면은 다음과 같습니다.

사용자 삽입 이미지

비씨카드 이용대금 명세서를 네이버 사용자가 보낼리는 없겠지요?

본문에 포함되어 있는 "이용대금 명세서보기" 부분을 클릭하면 다음과 같은 새로운 창이 나타납니다.

사용자 삽입 이미지

마치 nProtect 키보드 보안프로그램(KeyCrypt)처럼 사칭한 KProtect 키보드 보안 프로그램 추가 기능을 요구합니다.

사용자 삽입 이미지

허위 인증요청 화면으로 보여주며, 일부 콘텐츠 설치를 유도합니다.

사용자 삽입 이미지

KProtect 키보드 보안 프로그램 설치 화면을 보여줍니다.

사용자 삽입 이미지


해당 Active X Control 파일이 설치되면 몇 가지 파일이 생성되고, 특정 사이트로 지속적으로 접속을 시도합니다.

이러한 시도가 많아지면 (D)DoS 공격이 될 수 있습니다.

사용자 삽입 이미지

일부 접속을 시도하는 사이트가 네이버로 파악되었습니다.

현재 정상적으로 보여지지 않고 있는 것으로 보아, 공격을 받고 있는 것으로 추정됩니다.

접속시도 사이트 일부 공개합니다.

- 222.122.193.138
- 222.122.212.88
- 222.122.193.121
- 211.233.76.132
- 202.131.29.82
- 202.131.27.109
- 202.131.25.94
- 119.205.216.174
- 222.122.193.142


사용자 삽입 이미지

네이버 만화 사이트는 Stack overflow 창이 나타나고 있습니다.


현재 해당 파일은 잉카인터넷 시큐리티 대응센터에서 정밀 분석이 진행 중이며, 대외비로 취급되고 있습니다.

nProtect Anti-Virus 긴급 업데이트에 치료 기능을 추가할 예정입니다.

bccard.htm
http://www.virustotal.com/analisis/1e130c686b14da1377005cf75a70380346d98f119ce89e145662110baf3b2365-1277266638

BA10.exe - (D)DoS 공격 기능 추정 분석 중
http://www.virustotal.com/analisis/7600f71df19caab752f1262740237e28545ee18d0d3ed1eaa7a74b353814c9e3-1277223628
http://www.virustotal.com/analisis/7600f71df19caab752f1262740237e28545ee18d0d3ed1eaa7a74b353814c9e3-1277277060

BHOMailCollector.dll - 메일 주소 수집 기능 추정 분석 중
http://www.virustotal.com/analisis/2591a49e7232d3e6ec66b8a85f324488ec76581c437d1a68bbb16fe63ebb6c16-1277256950
http://www.virustotal.com/analisis/2591a49e7232d3e6ec66b8a85f324488ec76581c437d1a68bbb16fe63ebb6c16-1277271955

BA10.cab
http://www.virustotal.com/analisis/8e76a8733b91aca71771f66ea1c87512266f0ba97b21eeaf12a89c869514c6f6-1277265906

공격 대상 사이트 (변경될 수 있음)

감염된 사용자 컴퓨터에서 이메일 주소를 수집하여 12시간마다 최대 200여명에게 똑같은 메일을 발송하는 것으로 보여집니다.

이메일 웜이라고 해도 되겠네요.

- www.naver.com
- mail.naver.com
- comic.naver.com
- music.naver.com
- movie.naver.com
- photo.naver.com


nProtect 에서는 확산도가 높은 것으로 파악하여 긴급 경보(위험 4단계)를 발령하였습니다.

http://www.nprotect.com/v7/nsc/sub.html?mode=report_view&subpage=3&no=90


nProtect Anti-Virus 패턴에 긴급 업데이트가 완료되었습니다.


발신지가 네이버에서 국내 모 언론사 아이디로 추가로 전파 중인 것이 목격되었습니다.



Posted by viruslab
보안관련소식2010.06.22 16:02


2009년 07월 07일 화요일 오후 6시경을 기점으로 청와대, 국방부, 국회 등 국내외 주요 국가기관 및 금융기관 등이 블록버스터급의 분산서비스거부(DDoS) 공격을 받고 연쇄적으로 접속 불통이 되는 초유의 인터넷 대란 사태가 시작됐다.

지난 15년간 악성코드와 관련된 일을 하면서 처음으로 경험한 대규모 사이버 위협의 신호탄이었던 것으로 기억이 생생하다. 7.7 DDoS 대란 1주기를 즈음하여 그 어느 때보다 신중하고 지혜로운 모습이 필요한 때일 것이며, 잊을 수 없었던 1년 전 과거로의 시간 여행을 떠나보고자 한다.

● 평온했던 월요일 대응 근무.. 그것은 사전 예고에 불과했다.

2009년 07월 06일 월요일 여느때와 마찬가지로 월요일은 여러가지 보안 이슈가 참 많았고, 바쁘게 하루 업무를 진행하고 있었다.

시계 초침이 오후 6시를 넘어 한참 퇴근 준비를 하고 있던 바로 그때 였다. nProtect 제품 고객사로 부터 일부 컴퓨터가 과도한 트래픽을 발생하고 있으니, 원격 접속으로 악성코드 존재 유무를 점검해 달라는 요청이 급박하게 접수되었다.

원격 접속을 통해서 해당 컴퓨터를 확인해 본 결과, 특정 파일이 미국 아마존 닷컴(Amazon.com) 사이트를 대상으로 서비스거부(DoS) 공격을 하는 것으로 분석되었다.

이전에도 이러한 형태의 악성코드는 지속적으로 목격되고 있었기 때문에 수동으로 해당 컴퓨터를 조치하고, 악성코드 샘플을 채취하여 업데이트에 추가할 수 있도록 처리를 완료 한 후 퇴근을 하였다.

● 긴박했던 7.7 DDoS 대란의 시작 절묘하게 조짐이 달랐다.

2009년 07일 07일 화요일, 전날 야간 근무로 인한 피로감이 조금 남았지만 당일 근무기간 중에는 특별한 이상 징후가 포착되지 않았고, 평상시와 같이 일반적인 보안 관제 및 대응 업무가 진행되었다. 

퇴근 후 이제 갓 2살이 되어가는 아들과 평온하고 즐거운 저녁 시간을 보내고, 잠들기 전 잠시 컴퓨터 앞에 앉았다. 특이 상황 여부를 파악하기 위해서 주요 보안 이슈 등을 모니터링하던 중 포털 등 몇몇 사이트의 접속 장애가 발생하고 있다는 정황을 포착하였다.

처음에는 장애가 발생하고 있는 사이트들의 일상적인 유지보수 정도라고 생각했지만 지속적으로 발견되는 접속 마비 장애에 이상 징후를 감지하고 새벽 5시경 부리나케 회사에 긴급 출근을 한다. 잉카인터넷(INCA Internet) 대응팀에 입사한 이후 처음으로 새벽에 출근을 감행(?)한 첫 날로 생생하게 기억이 난다.

● 강도높고 피말린 DDoS 공격, 일사분란하게 대응에 착수

2009년 07월 08일 수요일 새벽 5시 자가용을 몰아 적막한 어둠을 뚫고 숨가쁘게 회사에 도착하자마자 DDoS 상황 추이를 파악해 보았고, 그 결과 징후가 심상치 않음을 본능적으로 직감했다.

곧바로 사내 시큐리티 대응시스템에 예사롭지 않은 비상 상황을 전파함과 동시에 대응팀 전원에게 긴급 소집 지시를 내렸다.

이렇게 하여 일명 "7.7 DDoS 대란"이라고 불려지는 3박 4일간의 짧고도 길었던 잉카인터넷의 전사적 긴급 대응체계가 돌입하게 되었고, 많은 연구원들이 철야근무에 새우잠을 자면서 고군분투를 하게된다. 

하나씩 하나씩 계속해서 악성코드 변종들이 수집되고 분석되어지면서 07월 05일 고객사에 의해서 기접수되었던 파일이 7.7 DDoS 악성코드 파일 중 하나였고, 아마존 닷컴에 대한 DoS 공격이 7.7 DDoS 공격의 첫번 째 목격이었던 것을 알게 되는 순간 이미 예견되었던 지능적인 공격이었다는 점에서 "아차" 하는 마음을 한동안 떨칠 수가 없었다.

보통 7.7 DDoS 공격이라고 말하면 대부분이 2009년 07월 07일에 시작된 내용만으로 알기 쉽지만 실제로 작년 7.7 DDoS 공격자는 미국의 독립기념일(Independence Day)이었던 2009년 07월 04일(2009/07/04 02:50:16 UTC)을 타겟으로 공격을 감행한 것을 파악할 수 있으며, 한참 이전부터 치밀하게 수립된 계획으로 다양한 변종 악성코드를 전방위적으로 유포했다는 것을 알 수 있다.

7.7 DDoS 공격에 사용되었던 악성코드는 Independence 라는 Spam 성 이메일을 발송하기도 하고, Memory of the Independence Day 라는 문자열로 물리적 데이터(MBR)를 파괴 시도하였다는 점도 미국의 독립기념일과의 연계성을 증명해 주는 중요한 단서로 지목하는 부분이기도 하다. 다만, 한국 사이트에 대한 공격이 2009년 07월 07일부터 시작되었기 때문에 일반적으로 "7.7 DDoS 대란"이라는 용어를 사용하고 있는 것이다.

잉카인터넷은 금융권 및 게임회사 등에 특화화되어 서비스되고 있는 nProtect Anti-Virus 기능을 통해서 실시간으로 접속되는 다수의 사용자들에게 무료로 악성코드를 진단하고 치료해 줄 수 있도록 하여 악성코드 치료율을 높이는데 주안점을 두고 긴급 대응을 펼쳐 효과적인 대국민 보안 서비스를 제공하기도 하였다.

● 3박 4일간의 눈코 뜰새 없던 대응의 끄트머리 

2009년 07월 11일 토요일, 나흘간 쉴 새 없이 숨막히게 진행된 7.7 DDoS 공격은 어느정도 소강상태에 접어들었고, 전사적 비상대응체계도 조금씩 부분 하향 조정되었다.

이번 사태를 겪으면서 악성코드에 감염된 컴퓨터들(Zombie PC / Bot Net)이 악의적인 의도를 가진 사람들에 의해서 고의적으로 조정(C&C)이 될 경우 국가적으로 얼마나 큰 피해가 발생할 수 있는지를 여실히 보여준 중요한 사례라 할 수 있을 것이고, 가상 시나리오만으로 시사되었던 사이버 테러에 대한 잠재적 보안 위협이 어느 정도 현실화 되었다는 점도 매우 중요한 부분일 것이다.

사명감을 가진 전문 보안 인력들이 똘똘뭉쳐 모두 하나가 되어 신속한 대응을 이뤄내고 국가안보에 조금이나마 도움이 되었다는 뿌듯한 보람과 자긍심을 느끼는 좋은 기회가 되기도 하였고, 사이버 테러에 대한 경각심이 고취되었던 반면에 IT 강국인 대한민국의 허술한 보안 허점을 보여준 안타까운 현실을 뼈저리게 알게 된 계기가 되었던 것도 잊어서는 안될 것이다.

● DDoS 공격 위협 대응을 위한 3박자 갖추기

수 많은 보안 공격은 우리가 잠든 시간에도 끊임없이 시도되고 있기 때문에 좀더 효과적으로 대응하기 위해서는 다양한 노력이 절실히 필요하다. 그중에서도 개인 컴퓨터 사용자들은 악성코드에 감염되는 Zombie PC 로 전락하지 않도록 보안의식에 대한 좀더 많은 주의를 기울인다면, 7.7 DDoS 와 같은 보안불감증 피해는 사전에 충분히 예방할 수 있을 것이다.

1. 운영체제는 항시 최신 서비스 팩과 보안 패치 버전이 유지되도록 하며, MS오피스, 인터넷 익스플로러, FlashPlayer, Adobe Reader 등 주요 응용프로그램들은 항상 최신 버전으로 업데이트하여 사용한다.

2. 신뢰할 수 있는 보안업체의 ▲개인용 보안제품(Firewall, Anti-Virus)을 반드시 설치하며, ▲지속적인 최신 업데이트 유지와 실시간 감시 활성화, ▲정기적 검사 수행 등을 통해서 보안 위협 요소를 제거하고, 허용되지 않는 외부 명령을 차단하도록 한다.

3. 각종 보안 정보에 관심을 기울여 각종 Zero-Day Attack 이나 최신 보안 이슈를 통해서 신속하고 적절한 보안 대책을 강구하여 안전한 시스템을 구축하도록 한다

 

Posted by viruslab
보안관련소식2010.06.17 13:16


전자신문 보도자료 보기
서울시 홈페이지에 중국발 3차 DDoS 공격

etnews.co.kr

보안업체 이스트소프트는 지난 9일(1차)과 11일(2차)에 걸쳐 국가 포털 사이트·일부 정부기관 사이트·슈퍼주니어 사이트 등에 DDoS 공격을 시도한 일부 중국 네티즌들이 중국 포털 바이두에서 16일 3차 공격을 위해 세력을 모으고 있다는 분석을 지난 14일 내놓은 바 있다.

이스트소프트의 공격 예상 보고가 적중했네요! ^_^b


사용자 삽입 이미지
사용자 삽입 이미지




Posted by viruslab
보안관련소식2010.06.16 14:29


SGA "중국발 DDoS 공격 문제없다"
보안업체 SGA가 최근 문제가 되고 있는
정부 주요 사이트에 대한 중국발.....

asiae.co.kr

보안업체 SGA가 최근 문제가 되고 있는 정부 주요 사이트에 대한 중국발 분산서비스거부(DDoS) 공격 대비에 만전을 기하고 있다고 합니다.

관련 소식은 위에 파랑색 링크를 참고하세요.


사용자 삽입 이미지
Posted by viruslab
보안관련소식2010.06.16 10:06




사용자 삽입 이미지

지난해 7월 7일 발생한 DDoS(분산서비스거부) 사태 1주년을 계기로 정보보안의 중요성을 홍보하고자 온/오프라인을 중심으로 대국민 홍보 캠페인을 다음과 같이 진행합니다.

◇ 다 음 ◇

가. 캠페인 개요
00 o 캠페인명 : No DDoS, Secure KOREA
00 o 주     관 : 지식정보보안산업협회(KISIA), 한국인터넷진흥원(KISA)
00 o 기     간 : 2010. 06. 06(일) ~ 07. 07(수)
00 o 대     상
        - 온라인 홍보 : 주요 포털사이트, 주관기관, 후원기관 및 협회 회원사 홈페이지 등에 관련 팝업 및 배너 게시
        - 오프라인 홍보 : 건물외벽 현수막 설치, 포스터 부착, 전문 일간지 기사 게재 등
00 o 후     원 : 지식경제부, 방송통신위원회, 행정안전부, Daum, Naver, Paran,
                 서울메트로, 디지털타임스, 전자신문, 금융보안연구원, 한국산업기술보호협회,
                 한국소프트웨어산업협회, 한국인터넷기업협회, 한국정보보호학회,
                 한국정보산업연합회, 한국정보통신기술협회, 한국스마트홈네트워크산업협회,
                 한국CCTV연구조합

2009. 7. 7 DDoS 공격개요
‘09년 7월4일 미국 주요사이트들을 대상으로 공격이 시작되었으며, 국내 최초공격은 7월 7일 PM6~7시경 네이버 메일 서비스에서 발견. 이후, 정부, 대기업 등을 주요대상으로 하여 7월 10일 00시까지 공격이 계속됨. “인터넷 대란 시즌2”, “7.7 DDoS 공격”으로 불림.

나. 캠페인 홈페이지
00 - http://www.kisia.or.kr/noddos



Posted by viruslab
보안관련소식2010.06.15 15:01


트위터 접속량 폭주?
최근 트위터가 자주 멈추는 가운데 월드컵이라는
변수가 트위터 사고를 더 잦게 할 것으로 보인다.
viruslab.tistory.com


오늘따라 트위터가 용량 초과로 인해서 고래 사진을 보여주고 있는데요.

팔로워분 중 한분이 RT 를 해주셨네요.

아직 사실 확인 중입니다.

사용자 삽입 이미지



Posted by viruslab
보안관련소식2010.06.15 09:26
보안관련소식2010.06.10 17:13


9일 중국 IP서 디도스 공격 받아
120여개 인터넷 주소에서 동시공격... 추적나서
newdaily.co.kr

뉴스를 쓰신 기자분 성함이 안보이네요.

사용자 삽입 이미지

지난해 7월 발생한 디도스(분산 서비스 거부)공격이 북한이 유사시 주한미군과 워싱턴의 미군 지휘부 간 통신을 마비하려는 의도에서 비롯됐다는 주장이 제기됐다. ⓒ 뉴데일리


임종인 고려대 교수(한국정보보호학회장)는 최근 “천안함 다음 북한의 선택은 사이버 공격이 될 가능성이 높다”고 지적한 바 있다.

정부는 지난해 DDoS 사이버 테러의 배후로 북한군 총참모부 정찰국 산하 110호 연구소를 지목한 바 있다.

110호 연구소는 기존의 사이버 전쟁 전담 부대인 ‘기술정찰조’와 ‘조선컴퓨터센터(KCC)’ 등을 확대 편성한 것.

북한은 지난해 국방위원회의 정찰총국 예하에 ‘전자정찰국’도 신설했다.

이들의 임무는 한국을 비롯한 미국과 일본 등 국가와 군 관련 주요 기관의 컴퓨터망에 침입해 비밀 자료를 훔치거나 바이러스를 유포하는 일로 알려졌다.

하태경 열린북한방송 대표는 “북한 해커들이 주로 중국을 거점으로 활약하고 있다”며 “북한 자체는 인터넷 인프라가 충분치 않기 때문에 중국이 주 활동 무대”라며 “9일 중국발 디도스 공격도 북한의 사이버공격일 가능성이 크다”고 말했다.

행정안전부는 현재 관계기관과 함께 공격자를 추적하고 있다고 밝혔다.

Posted by viruslab
보안관련소식2010.06.10 16:30


Memory of the Independence Day
과연 또 DDoS 공격을 할까?
유치하게 똑같은 공격을 준비?! 아님 뒷통수를..
viruslab.tistory.com

[1보]ISP 이어 이번엔 정부 국가대표포털 DDoS공격 들어와
http://www.boannews.com/media/view.asp?idx=21441&kind=0

[2보] 정부, “정부기관 대표 홈페이지 DDoS공격 신속 대응”
http://www.boannews.com/media/view.asp?idx=21443&kind=0

[3보] 정부 대상 다양한 DDoS 공격 계속되는데...!!
http://www.boannews.com/media/view.asp?idx=21449&kind=1

[4보] 대규모 DDoS 공격 조짐? 대응 체계는 어떻게?
http://www.boannews.com/media/view.asp?idx=21453&kind=1

사용자 삽입 이미지


Posted by viruslab
신종악성코드정보2010.06.10 11:26


정부 대표 포털 디도스공격 발생
행안부에서 즉시 차단했다고 하네요.

yonhapnews.co.kr

9일 중국발 디도스 공격
자정께 중단... 행안부 포착 즉시 차단
www.hankyung.com

이번에는 Zombie PC 를 중국에서 사용하는걸까요?
이러다가 중국 사용자들에게 무료 백신 제공해야 하겠네요.


행정안전부는 9일 오후 국가 대표포털(http://korea.go.kr)이 중국 소재 IP에서 시작된 디도스(DDoS.분산서비스거부) 공격을 받았다고 10일 밝혔다.

이번 사이버 공격은 중국에 있는 120여개 인터넷 주소에서 9일 오후 8시18분 시작해 자정까지 총 220분간 지속돼 서버에 과부하를 발생시켰다고 행안부는 설명했다.

행안부 정부통합전산센터는 사이버 공격 보안관제를 하던 중 공격을 감지하고서 공격이 시작된 지 20~30분만에 IP를 차단했으며, 현재 관계 기관과 함께 공격자를 추적하고 있다고 밝혔다.



사용자 삽입 이미지



Posted by viruslab
분류없음2010.06.07 17:20


DDoS 공격 어느 보안 업체의 3일간
7.7 DDoS 용 악성코드가 발송했던 스팸메일
viruslab.tistory.com

작년 7.7 DDoS 악성코드가 감염된 시스템에서 발송하는 메일이 오랜만에 하나 수신되었네요.

작년 관련 정
작년에 포스팅했던 메일 화면이 있는 글
viruslab.tistory.com

아직도 감염되어 있는 시스템이 있다는 소리인데.. @_@

보낸 사람 :
Independence

제목 :
Memory Of...

첨부파일 :
memory.rar

사용자 삽입 이미지
Posted by viruslab
보안관련소식2009.09.09 11:17
보안관련소식2009.09.04 10:42


악성코드 분석 내용까지 있는 뉴스네요.

http://www.ebuzz.co.kr/content/buzz_view.html?ps_ccid=81577

사용자 삽입 이미지





Posted by viruslab
보안관련소식2009.09.02 09:47
보안관련소식2009.08.31 18:42



2009년 3월 초 육군사관학교 동기회 사이트가 변조되어 악성코드가 유포된 적이 있는데, 그곳을 통해서 배포된 파일 중에 nls 확장자 파일이 있었지요.

설치된 파일은 2 바이트 헤더 변조를 통해서 한글과 컴퓨터의 업데이트 모듈처럼 위장한 HncUpdate.exe 도 발견된 바 있습니다.

사용자 삽입 이미지


사용자 삽입 이미지





Posted by viruslab
보안관련소식2009.08.27 08:26


잉카‧컴투르, DDoS 방어 솔루션 DDoSCop 출시
 

 
사용자 삽입 이미지

 ▲ 잉카인터넷 주영흠 대표

 
사용자 삽입 이미지

                                                                   ▲ 잉카인터넷 장화철 부사장

정보보안업체 잉카인터넷과 DDoS 장비 업체 컴투르테크놀로지가 만나 DDoS 공격을 막기 위한 통합보안 솔루션을 선보였다.

잉카인터넷은 26일 잠시 롯데호텔 에매랄드룸에서 DDoS 방지 솔루션 신제품 출시회를 갖고 본격적이 영업에 돌입한다고 밝혔다. 양사가 이번에 선보인 제품은 'nProtect DDoSCop'으로, 잉카인터넷의 대표 보안솔루션인 엔프로텍트와 컴투르테크놀로지의 DDoS 장비가 결합된 게 특징이다.

이날 잉카인터넷의 주영흠 대표는 인사말을 통해 "최근 사이버 공격의 유형은 다양한 방식이 융복화되는 추세이기 때문에 하나의 민간 업체가 이 부분을 다 커버할 수 없는 상황"이라며 "잉카와 컴트루의 협력은 100%는 아니더라도 완벽에 가까운 DDoS 보안솔루션을 제시하기 위함에 목적이 있다"고 양사의 협력 배경을 설명했다.

이후 장화철 부사장은 '왜 잉카여야만 하는가?'라는 주제의 개회사를 통해 "천둥과 벼락 중 무엇이 더 무서운가라는 질문을 초등학생에게 던지면 천둥소리가 무섭다고 대답할 것이다"라며 "그러나 중학생이나 고등학생의 경우에는 천둥을 따라오는 벼락이 더 위험하다는 사실을 알고 있다"고 보안 영역의 우선순위에 대해 말을 꺼냈다.

이어서 장 부사장은 "정부나 국가 기관에서는 천둥소리를 막으려 노력하는데 실제로 위험한 것은 바로 벼락"이라며 "DDoS는 웹서버를 공격하는 행위가 위험한 것이 아니라 클라이언트가 좀비PC로 전락하는 것을 막는 것이 중요하고, 이러한 문제를 가장 잘 인지하고 있는 기업이 바로 잉카인터넷"이라고 강조했다.

양사가 이날 선보인 'nProtect DDoSCop'은 기타 DDoS 제품과 유사한 ▲이상 징후 탐지 ▲이상 징후 경보 ▲차단명령 업데이트 ▲악성코드 샘플분석 ▲악성코드 차단패턴 업데이트 순의 방어 패턴을 갖췄다.

이번 신제품이 기존 DDoS 장비와 프로세서스가 크게 다르지 않은 것처럼 보이지만, 그 내막을 살펴보면 제반 인프라에서의 경쟁력을 찾을 수 있다. 일단 잉카인터넷 측은 자사가 확보한 4억명의 클라이언트에 대한 중요성을 강조하고 나선 것.

잉카인터넷 측은 "잉카인터넷은 4기가의 트래픽을 감당할 수 있는 네트워크 인프라를 기반으로 전세계 4억명에 달하는 클라이언트를 확보했다"며 "국내에서만 일일 4000만건에 달하는 클라이언트 다운로드가 이뤄지고 있어 규모면에서는 세계 최고 수준"이라고 말했다.

또한 "폭넓은 클라이언트로 수집되는 정보는 잉카시큐리티대응센터로 모여 악성코드 등의 샘플을 신속히 확보할 수 있다"며 "'nProtect DDoSCop' 장비가 있었던 상황에서 7.7 대란과 같은 상황이 발생하면 72시간이 소요됐던 대응체제를 24시간 이하로 줄일 수 있었을 것"이라고 덧붙였다.


김남규 기자 ngkim@eto.co.kr
사진 / 도정환 기자dokingma@eto.co.kr
영상 / 이광진 기자mcbcast@eto.co.kr

Posted by viruslab
신종악성코드정보2009.08.17 08:46


확인 계속해서 분석 작업이 진행 중이다.

공격대상 : gall.dcinside.com (114.111.56.139)

디씨인사이드 같은 경우 3월달에도 공격을 받은 바 있지요.


http://news.mt.co.kr/view/mtview.php?no=2009030408205891794&type=2

http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=29360

이번 악성코드는 한국어 비주얼 베이직으로 작성되어 있습니다. 국내 사람이 8월 15일날 사용한게 아닌가 싶습니다.


http://www.dt.co.kr/contents.html?article_no=2009081702010560611003

을지훈련 때문에 여러 곳이 좀 민감하지 않을까 싶다.

사용자 삽입 이미지


Posted by viruslab
TAG ddos
보안관련소식2009.08.08 13:30
보안관련소식2009.08.07 10:54
보안관련소식2009.08.07 10:52
보안관련소식2009.07.13 08:06
보안관련소식2009.07.09 21:28


DDoS 공격 시간을 볼 수 있도록 개발된 프로그램입니다.

언론에 보도화된 내용들을 보면 마치 2009년 7월 9일 오후 6시에 새로운 공격이 시작되고, 그 이전에는 마치 공격이 없는 것처럼 오해할 수 있습니다.

실제로는 uregvs.nls 코드를 분석하여 공격 스케즐을 보면 2차 변형은 7월 8일 오후 6시부터 7월 10일 오후 6시까지 계속 이어지고 있다는 것을 알 수 있지요. 이 부분에 대한 정확한 인식이 필요합니다.

사용자 삽입 이미지

오후 7시 20분경 다음메일과 조선일보가 공격을 받는 모습을 확인할 수 있었으며, 조선일보만 웹 페이지가 열리지 않는 상황임.

- 오후 7시 20분경 상황


조선일보는 웹 사이트 정상화를 위해서 메인 도메인을 http://www1.chosun.com 으로 변경하였으나 아직도 불안정한 상태입니다.

전자정부 웹 페이지 접속 불가

- 오후 11시 03분경 상황



Posted by viruslab
TAG ddos
신종악성코드정보2009.07.09 12:15


(id money constraint pk primary key,scount money) 등의 문자열이 포함되어 있는 변종이 발견되었습니다.

긴급 업데이트가 진행 중입니다.

사용자 삽입 이미지

http://www.donga.com/fbin/output?n=200907090321&top20=1

북한방송 대표 “사이버테러 김일성 15주기 맞아 김정운 주도”

Posted by viruslab
TAG ddos
보안관련소식2009.07.08 12:03


악성코드의 분산 서비스 거부 공격(DDoS)에 의해서 국내외 주요 웹 사이트들이 부분적으로 접속되고 있지 않다.

http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=69

- 韓美 동시 겨냥 사이버공격 소행자는
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=100&oid=001&aid=0002753212

- DDoS '공격 지속'…주요기관 사이트 '불통'
http://www.seoulfn.com/news/articleView.html?idxno=66147

- 경찰 “해킹 공격에 사용된 컴퓨터 확보”..감염·공격경로 조사 중
http://www.fnnews.com/view?ra=Sent1201m_View&corp=fnnews&arcid=00000921705691&cDateYear=2009&cDateMonth=07&cDateDay=08

- DDoS, 1만8천 감염PC 통해 공격..긴급대응 가동
http://www.edaily.co.kr/News/Enterprise/NewsRead.asp?sub_cd=HC11&newsid=02023766589752552&clkcode=00203&DirCode=00402&OutLnkChk=Y

- 옥션-네이버 등 해킹 배후는 누구?
http://www.freezonenews.com/news/article.html?no=33561

- 방통위 "국내 PC 1만 8천 대 DDoS 감염"
http://mbn.mk.co.kr/news/newsRead.php?vodCode=441018&category=mbn00003

- 경찰, 해킹 동원 '감염컴퓨터' 확보
http://mbn.mk.co.kr/news/newsRead.php?vodCode=441021&category=mbn00009

- 국내외 주요사이트 사이버테러 진원지는 해외
http://www.cbs.co.kr/Nocut/Show.asp?IDX=1197749

- 신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령
http://www.krcert.or.kr/noticeView.do?num=340

- ‘백악관도 당했다’…세계 해킹 대란
http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090708004524

- "네이버·청와대 사이트 줄줄이 먹통"
http://www.zdnet.co.kr/ArticleView.asp?artice_id=20090708000554

- 청와대, 국방부, 백악관 등 해킹 공격 당해
http://www.donga.com/fbin/output?n=200907070495&top20=1

- [긴급]대규모 DDoS공격으로 국내 주요 사이트 마비!
http://www.boannews.com/media/view.asp?idx=16961&kind=&sub_kind=

- '사상 초유' 국내 주요사이트 해킹 '인터넷 대란'
http://news.chosun.com/site/data/html_dir/2009/07/07/2009070701575.html?254bed50

- 청와대 사이트도 불통... 해커 DDOS 공격 때문?
http://www.newshankuk.com/news/news_view.asp?articleno=d20090707232908n3314

- 한 밤의 인터넷 대란 ... 네이버 메일, 은행에 이어 청와대도 먹통
http://www.eto.co.kr/?Code=20090708000456890&ts=10012

다음과 같은 악성코드에 의해서 발생하고 있으며, 일부 사이트의 경우 현재도 접속이 불가능한 상태이다.

현재까지 변종이 총 11가 발견되었다.

일부 악성코드 샘플 내에 공격 대상 사이트들이 포함되어 있다.

발견된 악성코드에 포함된 DDoS 공격 대상 웹 사이트는 다음과 같고, 변종 악성코드에 따라 사이트가 상이할 수 있다.

- http://www.president.go.kr (청와대)
- http://www.mnd.go.kr (국방부)
- http://www.mofat.go.kr (외교통상부)
- http://www.assembly.go.kr (국회)
- http://www.usfk.mil (주한미군)
- http://blog.naver.com (네이버 블로그)
- http://mail.naver.com (네이버 메일)
- http://banking.nonghyup.com (농협 인터넷 뱅킹)
- http://ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- http://ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- http://www.hannara.or.kr (한나라당)
- http://www.chosun.com (조선일보)
- http://www.auction.co.kr (옥션)
- http://www.whitehouse.gov (백악관)
- http://www.faa.gov (미 연방 항공청)
- http://www.dhs.gov (미 국토 안전부)
- http://www.state.gov (미 국무부)
- http://www.voanews.com (미국의 소리 방송)
- http://www.defenselink.mil (미 국방부)
- http://www.nyse.com (뉴욕 증권 거래소)
- http://www.nasdaq.com (나스닥)
- http://finance.yahoo.com (야후 금융정보)
- http://www.usauctionslive.com (미국 옥션)
- http://www.usbank.com (US Bank)
- http://www.washingtonpost.com (워싱턴 포스트)
- http://www.ustreas.gov (미 재무부)


msiexec2.exe 파일이 실행되면 C:\WINDOWS\system32\uregvs.nls 라는 공격 대상 리스트 파일이 생성된다.


네이버 사이트 서비스 장애


청와대 사이트 접속 불가


국방부 사이트 접속 불가


Posted by viruslab
TAG ddos
보안관련소식2009.06.01 14:12


http://isplus.joins.com/life/lifes/200906/01/200906011140524671080100000801020008010201.html

게임아이템 거래중개 사이트 아이템베이를 공격하고, 54회의 협박메일을 보낸 범인이 검거되었다. 잡고 보니 조선족 행세를 하는 30대 한국인이었다.

사용자 삽입 이미지




Posted by viruslab