지난 2002년 이후로 인터넷에 대한 강력한 위협 요소 가운데 하나가 바로 DDoS(Distributed Denial of Service, 서비스 거부 공격) 공격입니다.

주로 바이러스와 같은 악성 프로그램을 유포하면서 봇을 양산하며, 최근에는 그동안 잠잠했었던 봇넷이 다시금 기지개를 편다는 소식도 있습니다.


최근 보안 전문가에 따르면, 돈만 주면 어떤 대상이라도 가리지 않는 상업용 DDoS 서비스를 제공하는 새로운 봇넷이 출현했으며, 빠른 속도로 몸집을 불리고 있다고 합니다.

"IMDDOS" 봇넷이라고 하며, DDoS 공격 서비스를 제공하던 웹사이트의 이름을 본 따 지은 것입니다.(발음은 I'M DDOS) 이 도메인은 지난 3월 20일 경에 등록되었으며 현재 중국에서 서비스를 제공하고 있습니다.

매일 1만대 이상의 새로운 봇(봇넷 프로그램이 설치 및 감염되어 원격에서 조정이 가능한 컴퓨터)들이 추가되고 있으며 현재 전세계적으로 활동하는 거대한 봇넷 중의 하나입니다.


홈페이지에서는 DDoS 서비스에 대한 소개, 공격 방식, 연락처 등을 포함하고 있으며, 현재 상업적으로 서비스가 진행 중입니다.

만약 서비스를 이용하고자 하는 경우에는 중국에서 많이 사용하는 QQ 메신저를 통해 가격적인 부분 뿐만 아니라 기술 지원까지 받을 수 있으며, 상업 소프트웨어와 마찬가지로 3단계의 기술지원 방식 및 24x7 까지도 가능하다고 합니다.

IMDDOS 봇넷의 통제 서버인 C&C 도메인은 대부분 중국에 위치하고 있으며, 일부의 경우 미국에도 위치하고 있습니다.

특히 봇에 감염시키기 위해 "Windows 7 Crack"이라는 프로그램에 은밀하게 악성 프로그램을 포함시켜 이를 통해 봇넷을 더욱더 키우고 있습니다.

따라서, 누군가가 인터넷에서 서비스하는 회사에 대해 DDoS 공격을 진행하는 경우에 단지 중국 IP만을 차단한다고 해서 해결될 수 없게 됩니다. 개인 사용자 뿐만 아니라 보안 관련 회사, 당국의 적극적인 대처가 더욱더 요구됩니다.

감사합니다.

IMDDOS 관련 자료: http://www.damballa.com/downloads/r_pubs/Damballa_Report_IMDDOS.pdf
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    해킹(Hacking)이라는 용어는 주로 컴퓨터나 인터넷에서 특출난 재능을 가져 여러 시스템에 침투하는 등의 재간둥이를 의미하며, 또한 이러한 기술을 이용하여 범죄를 저지르는 행위를 말합니다. 좋은 의미와 구별하기 위해 나쁜 뜻으로는 크래킹(Cracking)이라는 용어를 사용하기도 합니다.

    해킹은 초기에는 개인적인 목적으로 시도된 것이 일반적입니다. 하지만, 최근 이러한 해킹으로 금전적인 이득을 얻을 수 있다는 것을 악용하여 보다 전문적이면서 산업적으로 해킹 산업이 발전하고 있으며 이러한 해킹 행위를 산업화된 해킹(Industrialized Hacking)이라고 합니다. 하지만, 이 글에서는 완역한 표현인 '전문화된 해킹'이라고 부르도록 하겠습니다.

    19세기 초반 서구 유럽으로 시작된 '산업 혁명'으로 대단위의 생산이 가능해지면서 산업이 발전하게 되었습니다. 이와 유사하게 최근의 사이버 범죄 산업 또한 효율성, 확장성 등을 향상시키기 위해 '산업 혁명'과 같은 형태인 '자동화' 단계로 들어서고 있습니다.


    전문화된 해킹에서 가장 중요한 특징을 살펴보면 다음과 같습니다.

    • ROI 중시. 가능한한 최소한의 투자로 최대한의 효과(이득)을 얻을 수 있는 방향으로 진행
    • 목표는 개인이 아닌 집단.  자동화된 공격은 개인이 아니라 기업이나 대규모의 일반 사용자가 이용하는 범주를 목표로 삼음.
    • 다각적인 공격. 해킹을 진행하는 부분마다 고유한 역할이 있으며, 다양한 모델을 이용.
    • 자동화. 해커는 봇넷과 같은 컴퓨터 네트워크를 관리하며 취약점을 이용하여 컴퓨터를 감염시키거나, 기밀 정보를 훔치거나, 비밀번호를 무차별대입 공격으로 알아내거나, 스팸을 발송하거나, 악성코드를 배포하는데 자동화된 기법을 이용.


    이러한 전문화된 해킹에 사용되는 일반적인 공격의 유형은 다음과 같습니다.

    • SQL 인젝션으로 인한 데이터 누출. SQL 인젝션 공격을 통해서 가장 많이 발생하는 피해는 바로 데이터 누출임.
    • 웹애플리케이션의 로직 공격. 최근 해커들은 웹 애플리케이션의 로직 부분에서 발생가능한 취약점을 이용하는 공격을 개발하기 시작함. 이 공격은 정상적인 애플리케이션 트래픽과 동일하기 때문에 이를 탐지하기가 어려움.
    • 서비스 거부 공격. 서비스 거부 공격은 쓸데없는 트래픽을 보냄으로써 서버의 서비스가 사용할 자원을 소모하게 하여 정상적인 서비스를 제공할 수 없게 함.

    국내에서는 아직까지 '전문화된 해킹' 집단이 주도한 범죄사건이 나타나지 않고 있지만, 전 세계적으로 이러한 추세가 가속화될 가능성이 높기 때문에 이에 대한 경고가 필요하다고 생각되어 글을 정리하여 올립니다.

    출처: http://www.freshbusinessthinking.com/business_advice.php?CID=&AID=5975&PGID=1

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      지난 8월 하순에는 전세계가 아닌 국지적인 대규모 SQL 인젝션(Mass SQL Injection) 공격이 발생했습니다. 하지만, 국내의 피해가 적은 관계로 국내의 미디어에서는 별로 알려지지 않았습니다. 그 이유는 영문으로 된 웹 사이트를 공격 대상으로 삼았기 때문입니다.

      하지만, 이번 Mass SQL 인젝션 공격을 좀더 자세하게 분석해 보면, 앞으로 발생할 수 있는 공격의 형태나 대상 등을 미리 짐작할 수 있습니다. 이에 대해 언급하고자 합니다.

      이번 공격을 통해 약 21만 개의 웹 페이지가 감염되었으며, 공격을 주도한 IP는 중국발로 확인되었습니다. 기존 공격 형태에서는 전세계에 걸쳐 다양한 IP 주소들로부터 공격이 진행되었으나 이번 경우는 중국으로 국한되었다는 점이 참신(!)합니다. 공격을 주도한 서버는 약 60대 정도로 파악되고 있으며 대표적인 사이트는 http://a0v.org/, http://js.tongji.linezing.com 등이 있습니다만, 현재에는 모두 조치(!)가 된 상태입니다.

      공격 방식은 두 단계로 진행됩니다.

      1. 공격 대상 서버의 웹 페이지를 감염시킵니다. - <iframe> 형태의 코드를 웹소스에 삽입합니다.
      2. 인터넷 사용자가 감염된 웹 페이지를 방문하는 동안에 자신의 컴퓨터에 악성 코드를 다운로드합니다.

      놀라울만한 사실은 지난 8월 27일까지 악성코드를 다운로드한 횟수가 125만 번에 이른다는 점입니다.

      지난 번에 국내에서도 DDOS 공격으로 인해 많은 어려움을 겪은 바 기억하실 것입니다. 이러한 DDOS 공격의 주요한 구성원은 바로 악성코드를 다운로드한 컴퓨터(봇)들입니다.

      보통 1,000 대의 봇을 하나의 봇넷으로 간주합니다(주: 숫자에는 이견이 있을 수 있음) 따라서 감염된 댓수로 나눠보면 약 1000 개 이상의 봇넷이 새롭게 구축되었다는 것을 짐작할 수 있습니다.

      이렇게 SQL 인젝션의 취약점을 이용하여 대규모로 봇넷을 구축할 수 있다는 사실이 실험적으로, 아니 성공적으로 밝혀졌습니다.

      앞으로 강력한 봇넷이 구축된다면,
      • 스팸 메일 대량 발송
      • DDOS 공격의 대중화
      • 악성 코드의 대량 유포
      • 개인 정보(비밀번호, 은행 정보 등등)의 누출
      • 기타 알려지지 않은 새로운 형태의 공격
      등등의 공격이 올해 후반기과 내년에 발생할 것으로 예상됩니다.

      이러한 문제점을 대한 대비책은 그리 어렵진 않습니다. 먼저 웹 서버단에서 살펴 보면 SQL Injection 공격의 원인인 웹 소스 상의 매개변수의 검사(Sanitization)를 확실히 하고, 웹 애플리케이션 방화벽(WAF) 등을 도입하는 것입니다.

      사용자 단에서 볼 때에는 윈도우의 최신 서비스 팩 및 보안 업데이트 적용과 충분한 성능을 제공하는 안티 바이러스 제품을 사용하는 것이라고 볼 수 있습니다.

      감사합니다.

      PS: 국내에서는 웹 사이트에서 Active-X 컨트롤을 자주 사용합니다. 만약 Active-X 형태로 동작하는 악성코드를 다운로드하여 설치하는(감염시키는) 공격 형태가 발생한다면 그 피해는 엄청날 것으로 예상됩니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        전세계적으로 호평받고 있는 카스퍼스키 안티바이러스 제품에 보안 취약점이 발견되어 주의가 요망된다.

        이 취약점은 카스퍼스키 안티바이러스 6.x와 7.x 그리고 인터넷 시큐리티 6.x와 7.x 등 가장 핵심적인 제품에서 발생한다. 7.0.125 버전에서 맨 처음 발견되었으며 다른 버전에서도 동일하게 나타날 것이다.

        이 취약점을 통해 공격자는 로컬 컴퓨터에서 서비스 거부(Denial of Service) 공격을 수행할 수 있다.

        원인은 특정한 후킹 함수의 매개변수를 처리할 때 KLIF.SYS g함수내에서 오류가 발생하기 때문으로 "NtCreateSection(), NtUserSendInput(), LoadLibraryA() 함수를 호출할 때와 특별하게 조작된 매개변수를 가진 SSDT 엔트리에서 발생한다고 한다.

        해결방법은 아직 없으며, 11월달의 업데이트를 통해 처리될 것으로 알려 졌다.

        관련 정보
        카스퍼스키: http://www.kaspersky.com/technews?id=203038706
        루트킷닷컴: http://www.rootkit.com/newsread.php?newsid=778
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory