2009. 7. 17. 16:57ㆍ라이프/이것저것 리뷰
이전의 DDoS공격과는 달리 이번 공격의 가장 큰 특징은 하나의 파일로 악성코드를 감염시키는 것이 아닌 여러 개의 파일로 악성코드를 감염시키는 방식이라는 점입니다.(처음에 3개의 샘플에서 20개 이상의 변종 샘플파일 존재) 또한 공격 타겟이 정해져 있고, 봇(목적지를 찾아가는 경로)의 역할을 하는 감염 PC들이 외부의 명령을 받지 않고도 예약된 시간에 입력된 타겟을 공격하도록 되어 있습니다.
7.7 DDos 대란의 원인은 악성코드라고 밝혀졌습니다. activeX에 관련된 취약점을 이용한 여러가지 감염 경로가 존재하나, 동영상에 포함된 스크립트가 실행되어 1차 감염된 서버에 접속하게되고 악성코드를 다운로드하게 되면서 설치된 것으로 확인됐습니다. 동영상 파일에 포함된 악성코드에 의하여 공격용봇을 만들었습니다. 동영상에 포함된 스크립트를 통해서 개인정보 탈취, 악성 프로그램 설치하는 방식은 이미 보고된 방식으로 P2P 사이트 등에서 확인되지 않은 자료 다운로드시 주의가 필요함을 다시 한번 입증한 사례입니다. P2P사용을 하지 않는 것이 가장 안전한 방법입니다. 이미 공격을 받아 악성코드 배포용으로 사용되어진 서버에서 악성코드를 다운로드 받으면서 사용자의 PC가 감염되기 때문에 악성코드의 배포지는 정확히 확인되지 않습니다.
☞ 악성코드는 실행시 System32(C:\Windows\System32) 폴더 내의 msiexec.exe 파일을 변경시켜 동작하게 됩니다.
☞ msiexec.exe 파일은 Windows Installer(*.msi) 패키지로 제공되는 응용프로그램을 추가, 수정 또는 제거하기 위하여 MicroSoft에서 제공하는 윈도우 기본 응용 프로그램입니다. 악성코드가 생성하는 pxpdr.nls, uregv3.nls에서는 공격타겟이 되는 서버의 url 정보를 가지고 있으며 타겟을 IP가 아닌 URL을 통해 공격한다는 것을 알수 있습니다.
☞ 현재 확인된 여러 가지 변종들은 다른 공격타겟에 대한 정보들을 담고 있으며 잘 알려진 국내 사이트와 미국 사이트 약 45곳을 타겟으로 하였다는 정보를 담고 있습니다. 정부기관뿐만 아니라 네이버 블로그 페이지, 농협, 옥션 등 사기업도 공격을 받았습니다.
msiexec.exe파일을 분석한 결과물, 공격대상 URL
☞ 아래는 공격을 받은 국내 및 미국 사이트의 목록입니다. 안철수연구소까지 공격을 받았군요. ㅎㄷㄷ
국내 주요 포털 사이트에도 공격을 가했으나 신속한 대응으로 mail.naver.com 은 mail2.naver.com으로, mail.daum.net은 mail2.daum.net 으로 URL 을 변경하여 공격을 피할 수 있었다고 합니다. 공격을 당하기 전에 미리 방지하여 피해는 막을 수 있었지만 공격이 일어나는걸 알고 급하게 URL을 변경하는 것보다 그 전에 미리 보안에 신경을 기울일수 있다면 어떨까 하는 생각이 들어요.
DDoS 공격은 사전에 방지하기는 힘들지만 공격을 실행하는 악성코드의 감염을 방지 할수는 있습니다. 백신을 이용하여 바이러스 및 악성코드를 실시간으로 잡아내서 PC 내에 잠복할 가능성 자체를 없애는 일이 중요합니다. 내 PC에만 악성코드가 설치되지 않으면 그만! 이라는 생각이 아니라 내 컴퓨터에 언제 악성코드가 잠식할 줄 모르니 항상 실시간 감지를 이용하여 해킹을 방지하도록 조그만한 노력이 필요합니다. 정보를 보호하고 실시간 감지를 이용하여 해킹에 대한 사전방지를 하는 노력이 IT강국 뿐만 아니라 보안에서도 강국이 되는 지름길이라 생각합니다.
