2009년 7월 7일 영화를 보고 집에 오는 길에 아는 형이 연락했다.
"지금 네이버하고 옥션 접속 잘 안되는데 알고 있는 사항 좀 있으면 연락줘."
집에 도착해 확인해보니 별다른 얘기가 없고 기사만 몇가지 올라와 있었다.
7월 7일 오후 6시부터 네이버 메일 및 쪽지 서비스 장애가 발생했다고 한다.
이후 기사를 통해 네이버 메일과 옥션 외에 조선일부와 청와대도 접속 장애가 발생하고 있음을 알 수 있었다.
- '사상 초유' 국내 주요사이트 해킹 '인터넷 대란' (제목이 상당히 자극적임...)
http://news.chosun.com/site/data/html_dir/2009/07/07/2009070701575.html?254bed50
- 청와대 사이트도 불통... 해커 DDOS 공격 때문?
http://www.newshankuk.com/news/news_view.asp?articleno=d20090707232908n3314
- 한 밤의 인터넷 대란 ... 네이버 메일, 은행에 이어 청와대도 먹통
http://www.eto.co.kr/?Code=20090708000456890&ts=10012
일부 언론에서 해킹이라는 표현을 사용했는데 일반인들이 해당 사이트가 해킹 된 것으로 오해할 수 있어서 공격이라는 표현이 어떨까 싶다. 또, 몇 개 사이트 접속 안되었으므로 인터넷 대란은 조금 과장된게 아닐까 싶다.
[악성코드]
밤 11시 쯤 perfvwr.dll 의 존재가 처음 알려졌으며 이후 이번 사건과 관련된 악성코드들이 속속 밝혀지고 있다.
- 파일명 : msiexec2.exe
- 파일길이 : 33,841 바이트
- V3 진단명 : Win-Trojan/Agent.33841
이 파일이 실행되면 uregvs.nls 파일을 생성한다.
이 EXE 파일에는 코드 내부에 공격 리스트를 담고 있다.
실제 공격을 수행하는 파일은 DLL 파일로 현재까지 2개 파일이 발견되었다.
- 파일 이름 : perfvwr.dll
- 파일 길이 : 65,536 바이
- V3 진단명 : Win-Trojan/Agent.65536.VE
- 파일 이름 : wmiconf.dll
- 파일 길이 : 67,072 바이트
- V3 진단명 : Win-Trojan/Agent.67072.DL
DLL 파일은 공격할 리스트를 읽어들여 해당 사이트로 공격한다.
MD5 파일명 (V3 진단명)
------------------------------------------------------------------------------50c97bf514643d9e60980985db0908ca wmiconf.dll (Win-Trojan/Agent.67072.DL)
0f394734c65d44915060b36a0b1a972d msiexec1.exe (Win-Trojan/Downloader.374651)
9b08939834b2fe265ebaedccebd3d470 msiexec2.exe (Win-Trojan/Agent.24576.AVC)
6350758b62484765239057218bd81d9e msiexec3.exe (Win-Trojan/Agent.24576.AVD)
e199d5c70745c363b734f499a3e065a9 msiexec7.exe (Win-Trojan/Agent.32768.AIK)
6e5b00560a3c5bb92dfacb3766d6d7bc msiexec5.exe (Win-Trojan/Agent.32768.AIS)
1cba81fea0f34511c026e77cfa1f0ef6 wmcfg.exe (Win-Trojan/Mydoom.88064)
04a3552a78ed2f8dc8dc9a77ee9eb281 wversion.exe (Win32/Mydoom.worm.33764)
bcb69c1bab27f53a0223e255d9b60d87 msiexec2.exe (Win-Trojan/Agent.33841)
4b834eadab00115c65f3563fd1dd299a uregvs.nls (BinImage/Host)
65ba85102aaec5daf021f9bfb9cddd16 perfvwr.dll (Win-Trojan/Agent.65536.VE)
93322e3614babd2f36131d604fb42905 ? (Win32/Mydoom.worm.45056.D)
[공격 사이트 리스트]
청와대, 국방부, 외교통상부, 대한민국 국회, 주한 미군, 네이버 블로그, 네이버 메일, 농협 인터넷 뱅킹, 신한은행 인터넷 뱅킹, 외환은행 인터넷 뱅킹, 한나라당, 조선일보, 옥션
- banking.nonghyup.com (농협 인터넷 뱅킹)
- blog.naver.com (네이버 블로그)
- ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- mail.naver.com (네이버 메일)
- www.assembly.go.kr (대한민국 국회)
- www.auction.co.kr (옥션)
- www.chosun.com (조선일보)
- www.hannara.or.kr (한나라당)
- www.mnd.go.kr (국방부)
- www.mofat.go.kr (외교통상부)
- www.president.go.kr (청와대)
- www.usfk.mil (주한 미군)
미국 사이트도 있다. (변형에 따라 공격 웹사이트가 다를 수 있음)
- finance.yahoo.com
- travel.state.gov
- www.amazon.com
- www.dhs.gov
- www.dot.gov
- www.faa.gov
- www.ftc.gov
- www.nasdaq.com
- www.nsa.gov
- www.nyse.com
- www.state.gov
- www.usbank.com
- www.usps.gov
- www.ustreas.gov
- www.voa.gov
- www.voanews.com
- www.whitehouse.gov
- www.yahoo.com
- www.washingtonpost.com
- www.usauctionslive.com
- www.defenselink.mil
- www.marketwatch.com
- www.site-by-site.com
[감염경로]
현재까지 이 악성코드의 정확한 전파 경로는 알려져 있지 않다.
하지만, 이 악성코드를과 연관된 다른 악성코드가 확인되었다.
DDoS 공격은 크게 TCP/80(HTTP)와 UDP/80, ICMP 등
한대의 PC에서 특정 사이트로 초당 100 패킷 7 KB 발생
뉴스 등에 따르면 악성코드에 감염된 컴퓨터가 1만 8천대 정도 동원되었다고 함
[진단 및 치료]
알려진 변형을 제외하고 안철수연구소 V3에서 진단/치료가 가능하지만
V3를 사용하지 않는 사용자들을 위해 전용 백신을 발표했다.
- 안철수연구소 전용백신
http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3fileclean.exe
[마무리]
몇 대의 시스템이 악성코드에 감염되어 이번 공격에 이용되었는지 알 수 없지만 악성코드의 위험성을 알게된 사건이 아닐까 싶다.
몇 시간 동안 네이버 메일과 쪽지 서비스 등이 제대로되지 않아 불편이 많았을 것이다.
그런데, 이런 공격을 하는 시스템은 감염된 개인 컴퓨터일 가능성이 높다. 이 글은 읽는 사람들 중에도 감염되어 공격 패킷을 쏘고 있을지 모른다. 한번 자신의 컴퓨터를 최신 백신으로 검사해보는건 어떨까 ?
[관련자료]
- 신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령 (KrCERT/CC)
http://www.krcert.or.kr/noticeView.do?num=340
- DDoS 공격용 악성코드 전용백신 무료 제공 (안철수연구소)
http://kr.ahnlab.com/company/pr/comIntroKoNDView.ahn?B_SEQ=143302
'보안위협 (악성코드) > 악성코드 소식' 카테고리의 다른 글
| 2차 DDoS 공격 상황 .. 보안업체 추가 및 파괴 증상 (26) | 2009.07.09 |
|---|---|
| 네이버, 옥션, 청와대 공격 악성코드 외산 백신 진단율 (8) | 2009.07.08 |
| 군, 정보보호사령부(가칭) 창설에 바라는점 (0) | 2009.06.26 |
| DNS 접속 트래픽 증가 - KISA 경고 (0) | 2009.06.24 |
| 허위 MS 아웃룩 업데이트 메일 (0) | 2009.06.24 |