제 15회 해킹방지 워크샵에서 발표했던 자료입니다.

http://www.concert.or.kr/



제가 처음 생각했던 제목은 '7.7 DDoS 공격 그날 이후'입니다.
영화 제목 같이 만들어 봤습니다.
- 그런데 무슨 영화인지...

이후 주최측으로 부터 권유 받은 제목이 'DDoS 공격에 사용된 악성코드 총집합'입니다.
약간 손발이 오그라드는(?) 이름이네요.

원래 7.7 DDoS 공격 이후 어떤 공격이 있었는지 정리해보려 했는데 총집합에 맞춰서 초기부터 정리 해봤습니다.
- 덕분에 좀 더 많이 알게되었네요.

자료를 만들다보니 80 장이 넘게되었는데 제출 할 때는 50 장 정도로 줄였습니다.

이 자료가 발표할 때 사용한 자료에서 오타 수정하고 제목도 '주요 DDoS 공격 사례와 악성코드 분석'으로 평범하게 바꿨습니다.


사건이 발생하면 이 자료에 간단한 업데이트 정도는 있겠지만 당분간 DDoS 공격보다는 다른쪽에 관심을 가져 볼까합니다.


Posted by mstoned7

댓글을 달아 주세요

  1. 잡다한 처리 2011.11.18 13:09 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 내용 잘보겠습니다^^

  2. 하나뿐인지구 2011.11.19 11:49  댓글주소  수정/삭제  댓글쓰기

    방금 오타나서...xooooooo7.tiistory.com했더니...쩝...
    ...
    국내 언론사도...경x, 매x, 조x 등...site도...
    ...
    internet은...19세 이상만...사용?...

  3. 카레 2011.11.19 22:17  댓글주소  수정/삭제  댓글쓰기

    좋은 내용 잘 보겠습니다. ^-^;

  4. MaJ3stY 2011.11.23 14:32  댓글주소  수정/삭제  댓글쓰기

    귀중한 자료 감사합니다~

    잘 볼께요 ㅎ


잠잠해질거라고 예상했다면 너무 순진했을까요 ?
2009년 7월 8일 수요일 오후 6시 경부터 2차 DDoS 공격이 시작되었습니다.

* 2 차 공격 웹사이트 리스트

2차 DDoS 공격은 총 16개 사이트에 대해 이뤄졌습니다.

www.auction.co.kr (옥션)
www.altools.co.kr (이스트소프트)
www.wooribank.com (우리은행)
www.president.go.kr (청와대)
mail.daum.net (다음 메일)
mail.naver.com (네이버 메일)
mail.paran.com (파란 메일)
www.hanabank.com (하나 은행)
www.ahnlab.com (안철수연구소)
www.chosun.com (조선일보)
www.egov.go.kr (전자민원 G4C)
www.ibk.co.kr (기업은행)
www.kbstar.com (국민은행)
www.mnd.go.kr (국방부)
www.ncsc.go.kr (국정원 사이버안전센터)
www.usfk.mil (주한미군)


불행히도 안랩도 포함되어 있습니다. 전용 백신 배포를 차단하기 위한것일까요 ?

안랩에서 분석한 결과에 따르면 안랩은 2009년 7월 8일 오후 6시부터 2009년 7월 9일 오후 6시까지 공격을 받습니다.
그외 포털과 국민은행, 조선일보, 옥션 등은 2009년 7월 10일 오후 6시까지 공격을 받는다고 합니다.
- 이후 새로운 버전이 등장할 수도 있겠죠.


* Memory of the Independence Day

새롭게 발견된 wversion.exe (V3 진단명 Win-Trojan/Destroyer.37264, 진단버전:2009.07.09.00)에서 데이터 파괴 기능이 발견되었습니다.

- [긴급] 제2차 DDoS공격, 악성코드 일부서 데이터 파괴 기능 발견
http://www.boannews.com/media/view.asp?idx=16981&kind=&sub_kind=

DDoS 공격과 직접 관련있지는 않지만 다음과 같은 의미심장한 문자열이 존재합니다.

'Memory of the Independence Day'


시스템에서 문서나 소스 코드 등의 데이터 파일을 찾아 원래 파일은 파괴해 버립니다.


불행히도 디스크의를 'Memory of the Independence Day'로 덮어써 버려 데이터 파괴 기능을 가지고 있습니다.
디스크가 파괴된 후에 재부팅하면 시스템이 재부팅 되지 않습니다.

아직 이 파일을 실행해주는 기능은 찾지 못해서 언제 이 파일이 실행되는지는 모릅니다.
- 목요일 ? 금요일 ? 혹은 이미.... ?!

이같은 파괴 목적이 단순 데이터 파괴 목적인지 DDoS 공격에 사용된 시스템에서 자신의 흔적을 지우기 위해서는 아닐까요 ?




* 해외 기사

- Updated MyDoom Responsibile for DDOS Attacks, Says AhnLab (PC World)
http://www.pcworld.com/article/168032/updated_mydoom_responsible_for_ddos_attacks_says_ahnlab.html?tk=rss_news

진단명 중 MyDoom이 포함되었는데 이 내용이 기사화 되었다. 그런데, 제 블로그가 링크되어 있습니다.
(다소 당황... 한글로 작성된건데...) 한국어를 할줄 아는건 아닐테고 아마도 번역기로 돌렸나봅니다.


- List of US, South Korean sites targeted in ongoing DDOS (Robert McMillan, Security Blanket)
http://blogs.csoonline.com/list_of_us_south_korean_sites_targeted_in_ongoing_ddos







Posted by mstoned7

댓글을 달아 주세요

  1. viruslab 2009.07.09 02:24  댓글주소  수정/삭제  댓글쓰기

    다들 고생이 참 많으시네요. 제작자가 하루속히 밝혀지고 잡혀야 할텐데요.

    • mstoned7 2009.07.09 02:26 신고  댓글주소  수정/삭제

      잡힐까요 TT 저희쪽에서 과거 샘플을 보다가 6월에 이미 유사 샘플이 접수되었더군요. 거기에는 선명하게 China 가 있던데.... 흠

  2. 네오 2009.07.09 05:17  댓글주소  수정/삭제  댓글쓰기

    고생이 많으셨습니다. 대체 어떻게 뿌린건지.. 암튼 그런 류(?)의 메일도 받다니..ㄷㄷㄷㄷ

  3. ww0jeff 2009.07.09 09:08  댓글주소  수정/삭제  댓글쓰기

    Wow, 소설이 현실로 ..

    첨부파일이 다음번 공격에 쓰일 악성코드에 대한 힌트 아닐까요 ^^;;

    여튼 큰 역할 하고 계십니다.

    건투를 빕니다. 건강 챙기시구요~~

  4. creata 2009.07.09 09:39  댓글주소  수정/삭제  댓글쓰기

    웜이 뿌리는 스팸같군요. 좋은 정보 감사합니다.

    • mstoned7 2009.07.09 10:36 신고  댓글주소  수정/삭제

      메일 관련 내용은 개이적으로 받았지만 오해가 발생할 수 있을 것 같아 일단 ㅈ웠습니다. 개별적으로 올릴까 생각 중입니다. (거의 가십 정도인데...)

  5. 2009.07.09 09:45  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  6. 문의 2009.07.09 09:52  댓글주소  수정/삭제  댓글쓰기

    윈도우7에 카스퍼스키 KIS 2010을 사용중인데, 수시로 네트워크 공격 차단이라고 뜨더군요.

    패턴은 ICMPFlood이고, 2틀 전에는 60여차례, 어제는 20번 정도 공격이 있더군요. 오늘 아침에는 10여차례 정도, 공격이 탐지되었다는 IP를 보니, 공격리스트에 나온 기관도 한두곳도 포함되어 있는것 같습니다.

    이 공격이 감염대상을 찾기위한 공격인지 궁금하여 조언을 구합니다.

    예로 이렇게 나옵니다. 2009-07-09 오전 1:16:28 탐지: DoS.Generic.ICMPFlood 정보 없음 ICMP: 211.233.XXX.52 에서 0 로컬 포트로의 패킷

    보안관련은 먹통이어서 혹시나 하고 글을 남겨봅니다.

  7. 물여우 2009.07.09 10:32 신고  댓글주소  수정/삭제  댓글쓰기

    저도 해당 메일과 동일한 메일을 받았네요. gmail 계정으로 날라왔는데 혹시 이런 메일을 무작위로 뿌리는 악성코드도 있는 것은 아닐까 하는 생각도 듭니다.

  8. ^^ 2009.07.09 11:35  댓글주소  수정/삭제  댓글쓰기

    안녕하세요
    http://viruslab.tistory.com/891에 가보니
    메일은 스팸메일같던데요?

    • mstoned7 2009.07.09 12:35 신고  댓글주소  수정/삭제

      메일은 스팸성으로 큰 문제를 일으키지는 않지만 제목 제목 등이 이번 사건과 연관되어 있는게 아닐까 싶어서요. (추정입니다.)

  9. 허걱 2009.07.09 12:46  댓글주소  수정/삭제  댓글쓰기

    저도 gmail Inbox에 Memory Of...
    Independence <kqpkenb536@gmail.com> to me
    show details 3:01 am (9 hours ago !
    아직 파일을 열어보지는 않았지만 memory.rar
    1K 가 의심스럽네요...ㄷㄷ 네이놈검색에서 여기까지 찾아왔습니다..ㅜ 어째서 제 주소가 유포자들의 손에 들어갔을까요?ㅜ

  10. ^^ 2009.07.09 17:14  댓글주소  수정/삭제  댓글쓰기

    근데 메일 수신처 아이디야 부정확하지만 도메인이 정확하던데
    추가적인 공격대상지가 되는게 아닐까요?

  11. 장성재 2009.07.09 18:23  댓글주소  수정/삭제  댓글쓰기

    차군~
    안녕. 나야... 기억나지?
    여전히 잘 살고 있구만...
    정리해줘서 고마워~
    다들 고생이 많네.

  12. 벌새 2009.07.10 00:53 신고  댓글주소  수정/삭제  댓글쓰기

    이메일의 last는 lastfile=4000을 의미할 것으로 생각됩니다.

    볼일 다 봤으니 파괴하고 사라지겠다는 의미 같아요.


2009년 7월 7일 저녁부터 네이버, 옥션, 청와대 등의 웹사이트에 대한 악성코드 공격이 있었다.
이들의 정체가 밝혀진건 밤 11시 이후 였다.

이후 여러 변형 샘플들이 발견되었고 보안메일링 리스트를 통해 해외 업체와도 정보가 공유되었다.
- 즉, 해외 백신 업체가 모르거나 샘플이 없는건 아니다.

24시간이 지나고 있는 2009년 7월 8일 오후 5시 현재 해외 업체들의 진단 현황은 어떨까 ?
- 자칫 타사를 깎아 내리는 듯 할 수 있어 국내에서 잘 알려진 업체들 위주로 진단 현황만 정리했다.
(참고로 잉카나 하우리 같은 국내 업체는 모두 진단한다.)

결과적으로 국내에서 크게 문제된 이들 악성코드에 대한 해외 백신 업체 대응은 늦다.
국내 시장에 무관심해서 그런걸까..... TT

올초 2090 바이러스로 알려진 Win32/AimBot.worm.15872의 경우에도 국내에서만 사고가 발생했고 해외 업체들의 대응에 며칠 씩 소모되었다.
http://xcoolcat7.tistory.com/418

물론, 국내 백신 제품은 해외 제품에 비해 미흡한 점이 분명 있으며 국내 백신에서는 진단되지 않는데 외산 제품에서 진단되는 경우도 많다. 하지만, 이렇게 국지적으로 발생한 이런 사고에 대한 대응은 국내 업체가 빨라 보인다.

이런저런 이유로 국내 보안업체가 욕을 먹기도 하지만 이런건 인정 해줬으면 싶다. (바램~)
국내 업체가 모두 망하고 해외 업체가 국내 시장을 대부분 점유 한다면... 아마 대응이 빨라지지 않을까 싶다.

V3 진단명

A 사

B 사

C 사

D 사

E 사

F 사

Win-Trojan/Agent.67072.DL

X

O

O

X

O

X

Win-Trojan/Downloader.374651

O

O

O

X

O

X

Win-Trojan/Agent.24576.AVC

X

X

X

X

X

X

Win-Trojan/Agent.24576.AVD

X

X

X

X

X

X

Win-Trojan/Agent.32768.AIK

X

X

X

X

X

X

Win-Trojan/Agent.32768.AIS

X

X

X

X

X

X

Win-Trojan/Mydoom.88064

X

O

X

X

O

X

Win32/Mydoom.worm.33764

X

X

X

X

X

X

Win-Trojan/Agent.33841

X

X

O

X

X

X

BinImage/Host

X

X

X

X

X

X

Win-Trojan/Agent.65536.VE (공격에 사용됨 샘플)

X

O

O

X

O

X

Win32/Mydoom.worm.45056.D

O

O

O

X

O

X


Posted by mstoned7

댓글을 달아 주세요

  1. Sun2Day 2009.07.08 18:47  댓글주소  수정/삭제  댓글쓰기

    쿨캣님 오늘 수고 많으십니다 (+__)ㅋ

  2. ^^ 2009.07.08 18:49  댓글주소  수정/삭제  댓글쓰기

    안녕하세요
    8일 18시부터 공격대상이 변경되었습니다.
    리스트파악가능하신가요?

  3. 감각이상 2009.07.08 21:51 신고  댓글주소  수정/삭제  댓글쓰기

    공격대상이 지금 계속 바뀌고 있는건가요?
    이거 샘플 분석하고 있는 중이었는데 이쪽에선 특별한 작동을 안하고 있던 중에 uregvs.nls에 없는 리스트가 공격당하고 있네요. -_-

    • mstoned7 2009.07.08 23:16 신고  댓글주소  수정/삭제

      공격 대상을담고 있는 nls 파일을 떨어뜨리는 EXE 파일이 새로 배포된게 아닐까 추정해 봅니다. 아직 샘플이 접수 안되었는데.. 곧 샘플이 접수되겠죠.

  4. 래발 2009.07.09 10:49 신고  댓글주소  수정/삭제  댓글쓰기

    어떤놈인지.. 잡히면 그냥.. -_-+

    곧 3차 공격 예정이라고 들었는데..

    하이고 ㅠㅠ)

    고생이 많으세요. 화이팅~