[개 요]

 o 2009년 7월 7일 발생한 분산서비스거부공격에 의해 청와대, 네이버 등 국내 주요 사이트에 대한 접속 장애 유발

 o 해당 악성코드는 명령제어 서버로부터 공격목표를 전달받는 것이 아니라 감염 시 생성되는 공격목표 설정 파일을 기반으로
   자동공격을 수행함

 

[악성코드 감염 PC 증상]

 o 윈도우 서비스 형태로 등록되어 컴퓨터 시작과 함께 자동으로 실행됨

 o 방화벽 설정 비활성화

 o 다수의 특정 도메인을 대상으로 HTTP / UDP / ICMP Ping 패킷을 지속적으로 전송

   - 악성코드의 명령제어(C&C) 서버 접속 없이 악성코드 감염 시 생성된 공격 대상 도메인 목록 파일을 기반으로 자동 공격

   - 각 도메인으로 향하는 공격 트래픽은 1.0 ~ 25.3 KBPS 수준임 (분당 트래픽으로 환산하면 57.2 KB ~ 1.5 MB)

   - 하나의 감염 PC에서 발생시키는 총 트래픽은 54.2 KBPS로 해당 PC에 큰 무리를 주지 않음 (분당 약 3.3 MB)

   - HTTP GET Flooding으로 발생하는 트래픽의 비율이 전체 공격 트래픽의 92.4%로 대부분을 차지하는 반면 UDP와
     ICMP Ping 트래픽은 약 4%에 해당함

 

[피해 사이트에서 관찰되는 증상]

 o HTTP 헤더의 User-Agent 항목을 다음과 같이 서로 다른 5가지의 유형으로 변경해가면서 지속적으로 요청을 수행

   - User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; .NET CLR 2.0.50727;
     .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

   - User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6;
     .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

   - User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20)
     Gecko/20081217 Firefox/2.0.0.20 (.NET CLR 3.5.30729)

   - User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2;
     MAXTHON 2.0)

   - User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6;
     .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

o HTTP GET 수신과 더불어 UDP 80번 포트로 유입되는 트래픽 및 ICMP Ping 수신이 꾸준하게 관찰됨

 

[감염 시 조치 방법]

 o 일반 인터넷 이용자

   - 최신 업데이트된 백신을 이용하여 치료

     ※ 7월 8일 12시 현재, 아래의 국내 6개 주요 백신 모두 진단함

         V3 (안철수연구소), 바이로봇 (하우리), 바이러스체이서 (에스지알아이), 알약 (이스트소프트), nProtect (잉카인터넷),
         피시그린 (네이버)

     ※ 현재 6개 업체 모두 전용 백신을 배포 및 배포할 계획이거나 평가판에서 진단/치료 기능을 제공함
     ※ 안철수연구소 전용백신
     ※ 하우리 전용백신
     ※ 바이러스체이서 전용백신
     ※ 알약 전용백신
     ※ 네이버 PC그린 전용백신
     ※ 잉카인터넷 전용백신


 o 네트워크 및 시스템 관리자

   - 네트워크 DDoS 트래픽 모니터링 강화

   - 방화벽, IDS, IPS 등에 DDoS 트래픽 차단 규칙 적용

     ※ 위에 제시된 User-Agent 문자열을 이용하여 차단 규칙을 만들 수 있으나 정상적인 이용자의 접속에 장애를 일으킬
        가능성이 있으므로 주의

 

[기타 문의사항]

 - http://www.krcert.or.kr

 - http://www.boho.or.kr

 - 전화 : 국번없이 118


출처 http://www.boho.or.kr/dataroom/data_05_dtl.jsp?u_id=29&page_id=6&page=1&TempNum=35

profile

여기에서 행복한 시간 되십시오.