블로거팁닷컴

2009/07/17 16:57Marketing/Social Media

DDoS(Distributed Denial of Service) 대란

DDOS

DDoS 란 Distributed Denial of Service attack 의 약자로 “분산서비스거부 공격” 이라고 합니다. DoS는 Denial of Service, 서비스거부 공격 이라는 해킹수법의 한 종류입니다. 타겟 시스템에 공격을 가하여 해당 시스템의 리소스를 부족하게 하는 공격으로서 특정 서버(타겟)에 수많은 접속 시도를 만들어 다른 이용자들이 서비스를 이용하는 것을 방해하거나 접속이 되지 않도록 하는 수법입니다. DDoS의 가장 큰 목적은 시스템의 서비스 중단에 있습니다. 최근에는 DDoS공격을 이용해서 금품을 요구하거나 경쟁사에 공격을 가하고 손해를 끼치는 행위도 일어나고 있습니다. 이번 DDoS 공격은 2009년 7월 7일에 발생했다고 하여 7.7 DDoS 대란이라고 불리고 있습니다. DDoS가 여럿 괴롭히는군요.



이전의 DDoS공격과는 달리 이번 공격의 가장 큰 특징은 하나의 파일로 악성코드를 감염시키는 것이 아닌 여러 개의 파일로 악성코드를 감염시키는 방식이라는 점입니다.(처음에 3개의 샘플에서 20개 이상의 변종 샘플파일 존재) 또한 공격 타겟이 정해져 있고, 봇(목적지를 찾아가는 경로)의 역할을 하는 감염 PC들이 외부의 명령을 받지 않고도 예약된 시간에 입력된 타겟을 공격하도록 되어 있습니다.

7.7 DDos 대란의 원인은 악성코드라고 밝혀졌습니다. activeX에 관련된 취약점을 이용한 여러가지 감염 경로가 존재하나, 동영상에 포함된 스크립트가 실행되어 1차 감염된 서버에 접속하게되고 악성코드를 다운로드하게 되면서 설치된 것으로 확인됐습니다. 동영상 파일에 포함된 악성코드에 의하여 공격용봇을 만들었습니다. 동영상에 포함된 스크립트를 통해서 개인정보 탈취, 악성 프로그램 설치하는 방식은 이미 보고된 방식으로 P2P 사이트 등에서 확인되지 않은 자료 다운로드시 주의가 필요함을 다시 한번 입증한 사례입니다. P2P사용을 하지 않는 것이 가장 안전한 방법입니다. 이미 공격을 받아 악성코드 배포용으로 사용되어진 서버에서 악성코드를 다운로드 받으면서 사용자의 PC가 감염되기 때문에 악성코드의 배포지는 정확히 확인되지 않습니다.

☞ 악성코드는 실행시 System32(C:\Windows\System32) 폴더 내의 msiexec.exe 파일을 변경시켜 동작하게 됩니다.

DDOS

☞ msiexec.exe 파일은 Windows Installer(*.msi) 패키지로 제공되는 응용프로그램을 추가, 수정 또는 제거하기 위하여 MicroSoft에서 제공하는 윈도우 기본 응용 프로그램입니다. 악성코드가 생성하는 pxpdr.nls, uregv3.nls에서는 공격타겟이 되는 서버의 url 정보를 가지고 있으며 타겟을 IP가 아닌 URL을 통해 공격한다는 것을 알수 있습니다.
DDOS

현재 확인된 여러 가지 변종들은 다른 공격타겟에 대한 정보들을 담고 있으며 잘 알려진 국내 사이트와 미국 사이트 약 45곳을 타겟으로 하였다는 정보를 담고 있습니다. 정부기관뿐만 아니라 네이버 블로그 페이지, 농협, 옥션 등 사기업도 공격을 받았습니다.
DDOS

msiexec.exe파일을 분석한 결과물, 공격대상 URL


☞ 아래는 공격을 받은 국내 및 미국 사이트의 목록입니다. 안철수연구소까지 공격을 받았군요. ㅎㄷㄷ
DDOS

국내 주요 포털 사이트에도 공격을 가했으나 신속한 대응으로 mail.naver.com 은 mail2.naver.com으로, mail.daum.net은 mail2.daum.net 으로 URL 을 변경하여 공격을 피할 수 있었다고 합니다. 공격을 당하기 전에 미리 방지하여 피해는 막을 수 있었지만 공격이 일어나는걸 알고 급하게 URL을 변경하는 것보다 그 전에 미리 보안에 신경을 기울일수 있다면 어떨까 하는 생각이 들어요.

DDoS 공격은 사전에 방지하기는 힘들지만 공격을 실행하는 악성코드의 감염을 방지 할수는 있습니다. 백신을 이용하여 바이러스 및 악성코드를 실시간으로 잡아내서 PC 내에 잠복할 가능성 자체를 없애는 일이 중요합니다. 내 PC에만 악성코드가 설치되지 않으면 그만! 이라는 생각이 아니라 내 컴퓨터에 언제 악성코드가 잠식할 줄 모르니 항상 실시간 감지를 이용하여 해킹을 방지하도록 조그만한 노력이 필요합니다. 정보를 보호하고 실시간 감지를 이용하여 해킹에 대한 사전방지를 하는 노력이 IT강국 뿐만 아니라 보안에서도 강국이 되는 지름길이라 생각합니다.

 

, , , , , ,
3 Trackbacks, 16 Comments »

Trackback Address - http://bloggertip.com/trackback/3572

  1. Subject: DDoS 공격과 안철수연구소의 인기 상승

    Tracked from 울지않는벌새 : Security, Movie & Society 2009/07/17 19:49  - Del

    7월 7일부터 언론에 보도된 DDoS 공격으로 인하여 7월 11일을 기점으로 일단락되는 분위기로 접어들었습니다. 이번 공격에 대한 보안업체의 대응에서 그 동안 국내 보안업계의 선두업체인 안철수연구소(AhnLab)의 인기를 여실히 실감할 수 있었던 것 같습니다. 출처 : 심파일 일례로 국내 최대 규모의 공개 자료실 심파일의 유틸리티 주간 랭킹 부분에 안철수연구소 보안제품이 4개가 포진하고 있는 것을 통해 얼마나 이번에 인터넷 사용자들이 많이 의지하였는..

  2. Subject: 노컷뉴스 라디오 인터뷰 -DDoS관련

    Tracked from 엔시스의 정보보호(보안) 따라잡기 2009/07/17 20:22  - Del

    지난 금요일 노컷뉴스와 인터뷰를 하였습니다. 기자분께서 자세히 질문을 해 주었으며 필자는 답변을 최대한 자세히 하려고 노력 하였습니다. 1. DDoS의 기술적 대응 방법은? 그것은 기술적인 부분은 지난해 DDoS 공격에 대한 BMT 경험을 바탕으로 하여 느꼈던 점을 이야기했고, 또한 대응 가능한 부분을 말씀 드렸지만 DDoS 공격에 대한 근본적인 대책 방법은 딱 이것입니다라고 말씀드리기가 쉽지 않았습니다. 그렇게 하여 나온 기사가 http://w..

  3. Subject: DDos로 인해 손상된 하드데이터 복구 가능한 화일. AVI. JPG, GIF

    Tracked from Jsquare 삶의 이야기 2009/07/20 20:25  - Del

    DDos로 인해 손상된 하드디스크를 복구 프로그램을 이용해서 복구하는 중입니다. 뉴스 기사에서 DDos공격에 의해서 손상된 데이터는 복구할 수 없다는 글을 읽게 되었습니다. 제 HDD는 파티션이 손상되어서 슬레이브로 연결한 후 빠른 포맷을 했습니다. 그런 후 하드복구프로그램을 이용해서 클러스터 검색을 했습니다. 검색하는데 토요일 밤 11시 부터 시작해서 월요일 점심 2시 경에 분석이 마쳤으니 약 40시간 정도가 클러스터 검색에 소요되었습니다. 그 시..

Responses to Post

  1. BlogIcon 또자쿨쿨

    얼마전에 온타운도 DDoS계열의 Flooding 공격을 받은 적이 있습니다.
    어질어질합니다. -_ -;;;;

    2009/07/17 18:19 A / D / R

  1. BlogIcon Zet

    그렇군요, 온타운마저..ㄷㄷ

    2009/07/18 08:21 A / D

  1. BlogIcon 뷰티가이드

    감히 안철수연구소를!!-_-+++

    2009/07/17 20:53 A / D / R

  1. BlogIcon Zet

    혹시 안랩에서 일하셨나요? ㅋㅋ

    2009/07/18 08:21 A / D

  1. 어신려울

    아우님 잘 지내는가 ...
    소식도 없고 사는게 바쁜모양이지...

    2009/07/17 22:37 A / D / R

  1. BlogIcon Zet

    네 형님 전 잘 지내고 있어요.
    형님도 잘 지내고 계시죠?

    얼굴 한번 뵈야되는데 말이죠.^^

    2009/07/18 08:22 A / D

  1. BlogIcon 규리야귤이다

    제가 자주 플레이하는 GTA 산안드레스 멀티 서버도 1년 내내 DDOS에 시달렸습니다. -_-;
    그래서 누구보다 DDOS의 공포를 잘 알지요.

    뉴스보면서 정말 섬뜩하더군요. 흑..

    2009/07/17 23:00 A / D / R

  1. BlogIcon Zet

    GTA 서버도 DDOS 공격을 받았나요?
    대단하네요. 게임 서버까지 -_-;

    2009/07/18 08:22 A / D

  1. BlogIcon 마래바

    캬~~ IT 보안 분야 글까지,, 역시 멋지십니다.
    자주 못 인사드려 죄송,. 안녕하실걸로 믿고,.. ^^;;

    2009/07/17 23:09 A / D / R

  1. BlogIcon Zet

    저도 자주 인사드리지 못했는데요.
    오늘 하루도 건강하시구요.
    행복한 하루하루 되시길 바래요, 마래바님!

    2009/07/18 08:23 A / D

  1. BlogIcon 아우크소

    정말 국내사이트도 많은 공격을 받았네요
    저정도로 많을줄은 몰랐었는데....

    2009/07/18 00:56 A / D / R

  1. BlogIcon Zet

    저도 좀 놀랬습니다. 주요 기관을 타겟으로 공격한것 같아요.

    2009/07/18 08:24 A / D

  1. BlogIcon 마루.

    배후가 나왔나요? 저도 컴퓨터 포멧된다던 다음날 컴 고장나서 디도스걸렸었나 했는데 접촉불량 이었어요..어이가 없었네요..ㅋㅋㅋ

    2009/07/19 01:56 A / D / R

  1. BlogIcon sketch

    안녕하세요. 제트님. 트랙백 감사합니다.

    이번 일 겪으면서 많이 배우게 되네요. 개인 보안관리도, 자료관리도 더 신경쓰게 됩니다. ^^

    2009/07/20 20:27 A / D / R

  1. BlogIcon 열매맺는나무

    텔레비젼 뉴스를 보다보니 백신을 이용하면 돈이 많이 드는줄 알고 있는 사람들도 예상외로 많았습니다.
    이젠 내 컴퓨터를 지키는 일이 애국하는 길이 되어버린 시대가 되었습니다.
    앞으로는 컴퓨터 뿐 아니라 핸드폰도 문제가 될 것 같군요.

    2009/07/21 01:08 A / D / R

  1. BlogIcon 웹앤비저

    좋은생각이십니다.
    그러나 PC방이 문제죠. 모든 PC방의 PC는 모두 봇이라고 보면 된다고 하니 참 문젭니다.

    2009/07/21 16:56 A / D / R

Leave a comment