지난 2002년 이후로 인터넷에 대한 강력한 위협 요소 가운데 하나가 바로 DDoS(Distributed Denial of Service, 서비스 거부 공격) 공격입니다.

주로 바이러스와 같은 악성 프로그램을 유포하면서 봇을 양산하며, 최근에는 그동안 잠잠했었던 봇넷이 다시금 기지개를 편다는 소식도 있습니다.


최근 보안 전문가에 따르면, 돈만 주면 어떤 대상이라도 가리지 않는 상업용 DDoS 서비스를 제공하는 새로운 봇넷이 출현했으며, 빠른 속도로 몸집을 불리고 있다고 합니다.

"IMDDOS" 봇넷이라고 하며, DDoS 공격 서비스를 제공하던 웹사이트의 이름을 본 따 지은 것입니다.(발음은 I'M DDOS) 이 도메인은 지난 3월 20일 경에 등록되었으며 현재 중국에서 서비스를 제공하고 있습니다.

매일 1만대 이상의 새로운 봇(봇넷 프로그램이 설치 및 감염되어 원격에서 조정이 가능한 컴퓨터)들이 추가되고 있으며 현재 전세계적으로 활동하는 거대한 봇넷 중의 하나입니다.


홈페이지에서는 DDoS 서비스에 대한 소개, 공격 방식, 연락처 등을 포함하고 있으며, 현재 상업적으로 서비스가 진행 중입니다.

만약 서비스를 이용하고자 하는 경우에는 중국에서 많이 사용하는 QQ 메신저를 통해 가격적인 부분 뿐만 아니라 기술 지원까지 받을 수 있으며, 상업 소프트웨어와 마찬가지로 3단계의 기술지원 방식 및 24x7 까지도 가능하다고 합니다.

IMDDOS 봇넷의 통제 서버인 C&C 도메인은 대부분 중국에 위치하고 있으며, 일부의 경우 미국에도 위치하고 있습니다.

특히 봇에 감염시키기 위해 "Windows 7 Crack"이라는 프로그램에 은밀하게 악성 프로그램을 포함시켜 이를 통해 봇넷을 더욱더 키우고 있습니다.

따라서, 누군가가 인터넷에서 서비스하는 회사에 대해 DDoS 공격을 진행하는 경우에 단지 중국 IP만을 차단한다고 해서 해결될 수 없게 됩니다. 개인 사용자 뿐만 아니라 보안 관련 회사, 당국의 적극적인 대처가 더욱더 요구됩니다.

감사합니다.

IMDDOS 관련 자료: http://www.damballa.com/downloads/r_pubs/Damballa_Report_IMDDOS.pdf
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    아이튠즈에서 사용할 수 있는 50달러 짜리 기프트 카드를 무료로 제공한다는 스팸이 외국에서 발생하여 피해가 발생하고 있습니다. 다행인 것은 영어인 관계로 국내에서는 그리 큰 문제가 되지 않았다는 것입니다.


    <화면 1. 스팸 메일의 내용. 첨부에 악성 코드로 감염시키는 코드가 포함되어 있음>

    문제는 이 메일이 Asprox 봇넷과 연관이 되어 있다는 사실입니다. 즉, 사용자가 메일을 열고, 첨부 파일의 압축을 풀어 실행하는 순간에 이 컴퓨터는 바로 감염됩니다.

    <화면 2.  취약한 IIS/ASP 서버 사이트의 목록에 감염실 수 있도록 명령을 하달하는 내용>

    봇넷과 봇이 통신하는 내용은 모두 암호화되어 있으며, 위의 내용은 암호화를 해제한 후에 분석한 내용입니다. 여기에서 명령을 내리는 컨트롤 서버는 funnylive2010.ru 도메인으로 알려져 있습니다.

    Asprox 봇넷에 대한 자세한 사항은 아래 링크를 참고하십시오.


    봇넷은 앞으로 보다 다양한 수단을 이용하여 컴퓨터를 감염시킬 것으로 예상됩니다. 개인의 보안 의식부터 철저하게 다져야 하지 않나 생각됩니다.

    감사합니다.


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      전세계적으로 단일 규모로는 거의 수위에 이를 정도로 막강했던 Kraken 봇넷은 작년에 사라졌다고 알려져 있습니다. Kraken 봇넷은 전성기 시절에는 약 60만대 이상의 봇을 보유했던 기록을 가지고 있습니다. 이 봇넷에 대한 자세한 사항은 아래 링크를 참고하십시오.


      지난 4월부터 Kraken의 후예로 여겨지는 새로운 봇넷이 출현하기 시작했으며 약 31만여 대가 감염된 것으로 추산되고 있습니다. 이 수치는 Kraken 봇넷의 전성기 시절의 50% 이상의 규모입니다.

      Kraken 봇넷은 초기부터 스팸을 발송하는 데 주목적이 있었으며, 한 대의 봇이 하루에 약 60만 통의 스팸을 발송합니다.

      외국의 보안 웹사이트에서는 이렇게 봇넷이 새롭게 창궐하는 이유를 다음과 같이 말하고 있습니다.

      1. 돈을 벌 목적. 스팸은 가장 손쉽게 돈을 벌 수 있는 수단입니다. 따라서, 불법적인 약품이나 기타 제품을 판매함으로써 수익을 얻습니다.

      2. 안티바이러스 제품의 기술적 한계. 안티바이러스(컴퓨터 백신)은 매우 빠르게 변종을 출현하는 악성 프로그램에 대한 대응력이 여전히 부족한 것이 현실입니다.

      3. 손쉬운 전파(감염) 기술. 스팸 메일, 제로데이, 웹사이트의 취약점, 브라우저의 취약점 등과 같이 다양한 그리고 대규모로 배포할 수 있는 기술적인 우위에 있어 손쉽게 전파가 가능합니다.

      올해 그동안 숨죽이고 있던 봇넷이 하나 둘 출현하고 있습니다. DDoS 공격에만 염두에 두고 있다가 더 큰 문제에 봉착할 가능성이 매우 높으므로, 이에 대한 대비책도 필요합니다.

      참고자료:

      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        최근 SQL 인젝션 취약점을 이용하여 대규모로 공격이 이뤄지는 Mass SQL Injection 공격이 서너번 발생했습니다.

        외국의 유명한 보안 기업인 M86 Security Lab은 Pushdo 봇넷이 발송하는 스팸에서 Asprox 의 변형된 악성 코드가 발견되었다는 소식을 공개했습니다. 원래 Asprox 악성 코드는 스팸을 발송하는 용도였지만 이 번에는 IIS/ASP 플랫폼으로 구성된 웹사이트에 대규모로 감염되는 현상이 새롭게 나타났습니다.  이 번주에 들어 새롭게 출현한 Asprox의 변형된 악성 코드들은 스팸을 보낼 뿐만 아니라 SQL 인젝션 공격을 수행하는 것으로 확인되었습니다.

        현재 다음과 같이 3개의 사이트가 공격에 사용되고 있습니다.

        CL63AMGTART.RU
        HYPERVMSYS.RU
        ML63AMGSTART.RU

        이 도메인들은 Asprox 봇의 컨트롤 서버를 인식하는데 사용되고 있으며, 컨트롤 서버에서는 스팸 템플릿 및 메일 수신자에 대한 정보도 제공합니다.


        현재까지 입수된 공격 코드를 살펴 보면 아래 화면과 같이 SQL 인젝션 명령어를 포함하고 있는 것을 확인할 수 있습니다.

        한편, Asprox 봇넷에서는 IIS/ASP로 작성된 웹사이트를 찾기 위해 구글의 엔진을 이용하고 있는 것도 확인되었습니다.

        SQL 인젝션 공격에 이용되는 인코딩된 코드는 아래와 같습니다.

        위의 코드 중에 노랑색으로 표시된 부분을 디코딩하면 아래와 같은 SQL 구문이 나타납니다.

        위의 하면에서 빨간색 사각형으로 표시된 부분을 디코딩하면 아래와 같이 공격 코드를 유포하는 사이트를 알아 낼 수 있었습니다.

        이 코드를 이용하여 구글에서 검색해 보면 현재 감염되어 있는 웹사이트의 현황 및 숫자를 파악할 수 있습니다.

        위 화면에서 빨간색으로 표시된 것은 국내 사이트로 Aspox 봇넷의 공격으로 침해된 상태를 나타냅니다. 이 사이트를 방문해 보면 아래와 같이 공격된 코드가 아직도 남아 있는 것을 확인할 수 있습니다.
        <경고: 해당 사이트에는 아직 공격 코드가 남아 있는 상태이므로 방문하지 않는 것이 좋습니다>

        구글을 통해 검색해 본 결과, 현재 6천 여개의 URL이 감염되어 있으며, Asprox의 변형 코드가 출현할 때마다 침해 당하는 사이트가 증가할 것으로 예상됩니다.

        필자가 자주 언급하는 사항이지만, 최근에는 웹 보안의 가장 기본적이면서도 오래된 고질병인 SQL 인젝션과 XSS 공격이 다시 활개를 치고 있습니다. 아울러 하나의 공격 방식만을 고집하는 것이 아니라 스팸 + SQL 인젝션 공격과 같이 2가지 이상의 상이한 공격 벡터를 보이면서 이를 차단하는 방법에 대한 추가적인 연구가 필요할 것으로 생각됩니다.

        감사합니다.

        출처: http://www.m86security.com/labs/i/Another-round-of-Asprox-SQL-injection-attacks,trace.1366~.asp


        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          지난 7월 7일경, DDOS 공격이 국내 관공서 뿐만 아니라 민간 웹사이트까지 초토화시킨 적이 있습니다. 그 덕분에 일반인들도 DDOS 공격, 그리고 컴퓨터의 보안에 대해 한번 더 생각할 수 있는 좋은 기회였다고 생각됩니다.

          그런데, 이렇게 DDOS 공격을 하는 해커(크래커)는 엄청난 기술력과 정보력, 실력을 가졌다고 볼 수 있을까요?  엄청난 실력을 가질 수도 있습니다만, 실제로 알고 보면 약간의 돈만 있으면 DDOS 공격을 직접 주도할 수 있다는 사실은 모르셨을 겁니다.

          좀더 자세히 설명하면 다음과 같습니다.

          DDOS 공격이 이루어지려면 먼저 봇이 있어야 합니다. 봇은 일반 사용자의 PC에 봇에 관련된 프로그램(악성 코드)가 깔려 있어 원격으로 조종되는 것을 말합니다. 이러한 봇들이 수백, 수천 그 이상이 모여지게 되면 그것을 봇넷이라고 부릅니다. 그리고, 이러한 봇넷을 구축하는 사람을 봇 마스터라고 합니다. 따라서, 보통, 봇마스터와 악성코드 제작자가 한팀을 이루게 됩니다.

          초기에는 봇마스터들이 직접 DDOS 공격을 진행했습니다. 하지만, 봇에 관련된 기술이 발전하면서 봇넷 자체가 파는 형태인 서비스 방식(봇넷 키트라고 부릅니다)으로 변화하고 있습니다. 즉, 나쁜 마음을 먹고 있는 사람이라면 봇마스터와 연락하여 일정한 금액을 지불하고, 계약(봇 개수, 기간)을 하여 DDOS 공격을 하게 됩니다.

          최근 봇넷의 경향을 살펴 보면,  최고 3,500 달러짜리 제품부터, 100$짜리까지 다양한 제품들이 판매되고 있습니다. 100$ 짜리면 성능(!)이 별로라고 생각할 수 있겠지요? 하지만, 아닙니다. 이거만 있어도 왠만한 사이트가 휘청거릴 수 있습니다. 큰 사이트 이외에 DDOS 공격으로부터 대비하는 곳이 있을까요?

          외국의 봇넷에 대한 연구 자료를 참조해 보면, 다양한 봇넷 마스터가 활동 중에 있으며 이러한 봇넷 킷에는 가격 정책에 따라 기능이 있고 없는 즉, 다양한 옵션으로 무장하고 있다고 합니다.

           
          특히 아드레날린 봇넷킷(Adrenalin botnet kit)은 현재 가격이 3,500 달러에 판매되고 있으며, 구매자의 요구사항에 부합할 수 있도록 커스터마이징까지 제공할 수 있습니다. 아드레날린에는 24시간 내내 기술 지원, 익스플로잇 내장, 디지털 서명 빼돌리기 등의 기능을 포함하고 있으며, 훔친 데이터 암호화 등의 기능도 옵션으로 제공합니다. 또한, 다른 봇넷에 감염된 컴퓨터에서 봇넷을 제거하는 추가적인 기능도 제공합니다.
          그리고, 이러한 봇넷 키트는 컴퓨터에 대한 전문적인 지식이 없는 사람도 사용할 수 있도록, 간편한 설정 및 제어 구조를 가지고 있습니다.
          < 자료 1. 아드레날린 제어판>

          이렇게 DDOS 공격이 대중화되는데에 가장 기여한 것은 바로 보안을 등한시한 사용자와 웹사이트 관리자(개발자)라고 말할 수 있습니다. 하지만, 이러한 사람들도 아직까지 보안에 대해 여전히 불감증을 가지고 있기 때문에 봇넷이 사라지기는 커녕 더욱더 번성해 갈 것으로 보여 집니다.

          하지만, 호기심에 사로 잡혀 봇넷 킷을 사서 국내외 사이트에 DDOS 공격을 하게 되면 법적인 문제가 된다는 것 알고 계시죠!

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus


            Web Analytics Blogs Directory