안랩 ASEC에서 2013년 10월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2013 Vol.46을 발간하였다. 


이 번에 발간된 ASEC 리포트는 2013년 10월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.


1) 악성코드 이슈

IE 취약점(MS13-080) 주의보!

웹하드 사이트에서 유포된 백도어 악성코드 발견

반복 감염 유발하는 USB 악성코드 발견

일반 사용자에게도 유포된 이력서 첨부 파일

화면보호기 확장자(.scr)를 이용한 악성 파일


2) 모바일 악성코드 이슈

모바일 메신저 피싱 앱 설치하는 악성 앱 등장

암호화된 안드로이드 악성코드의 등장

공공기관 및 기업 사칭 스미싱 증가


3) 보안 이슈

스팸 메일을 발송하는 다리미?

PHP.net 해킹으로 인한 악성코드 유포

DNS 하이재킹을 통한 홈페이지 해킹

어도비 해킹 피해자, 3800만 명으로 증가


ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다. 


ASEC 보안 위협 동향 리포트 2013 Vol.46 발간

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

6월 25일 주요 정부 기관을 대상으로 한 DDoS(Distributed Denial of Service) 공격이 발생한 이후 새로운 형태의 DDoS 공격 형태가 6월 27일 추가 발견되었다.


이번 발견된 DDoS 공격 형태는 다수의 PC에서 ANY를 요청하던 방식에서, DNS ANY Query를  요청하는 것으로 위장(IP Spoofing) 한 후 ripe.net의 ANY 레코드의 결과를 Open Resolver(Reflector, 일종의 중계 DNS 서버)를 통해 정부 종합 센터의 네임 서버(Name Server)로 전송되도록 하는 전형적인 DNS 증폭 DDoS 공격 (DNS Amplification DDoS Attack) 형태이다.


1. 공격 과정


악성코드에 감염된 다수의 PC에서 IP Spoofing을 사용하여 DNS ANY 레코드 쿼리의 출발지 주소를 정부 종합 센터 DNS 서버로 위장하고, 해당 결과를 Open Resolver ( Reflector)가 적용된 DNS 서버를 통해 정부종합센터로 DNS Amplification DDoS 공격 이 유입되도록 한다.  


확인 결과, 금번 DNS 증폭 DDoS (DNS Amplification DDoS) 공격에 공격자가 동원한 20,000 여대의 DNS 서버가 모두 Open 된 DNS 서버는 아닌 것으로 분석되었다.



2. 공격 정보


이 번에 발견된 악성 코드는 2013/6/25 20:43:16 (GMT+9) 경에 제작된 것으로 파악되며, DNS 증폭 분산 서비스 공격을 목적으로 제작 되었다.


1) wuauieop.exe (131,072 바이트)

공격 대상은 앞서 언급한 바와 같이 ns.gcc.go.kr와 ns2 gcc.go.kr 을 대상으로 하고 있다. 이전 공격과 큰 차이점은 출발지 IP 주소를 Spoofing 하여 응답 되는 내용이 gcc.go.kr 로 향하게 하고 있다. 

이 공격기법은 해외에서도 여러 차례 사용된 바 있는 DNS amplification 이며, 출발지 IP 를 변경하여 응답이 조작된 출발지 IP 로 가도록 해둔다. 공격 패킷들은 RIPE.NET로 ANY 쿼리 한 것으로 나오며, 이는 공격을 더 임팩트(Impact) 있게 하기 위한 것이다. 

wuauieop.exe (131,072 바이트)가 감염된 시스템에서 실행 되면, 다음과 같은 순서로 동작하며 이를 반복하게 된다.

1) 감염된 시스템의 현재 시간 정보를 얻어와 공격을 할 것인지 우선 판별
2) 감염된 시스템의 IP와 네트워크 디바이스(Network Device) 장비 정보 획득
3) Pcap의 open_live 함수를 사용하여 packet capture descriptor(PCD)를 생성
4) 공격을 위한 스레드(Thread)를 30개를 생성
5) Pcap의 send_queue_alloc 함수를 이용하여 패킷의 큐스택 할당
6) Pcap의 send_transmit 함수를 이용하여 패킷 전송
7) Pcap의 Send_Queue_Destroy 함수를 이용하여 큐스택 제거

해당 파일은 ripe.net의 ANY 응답 결과를 전달할 때 사용하는 중계 DNS 서버 목록은 악성 코드의 .data 영역에 포함되어 있으며, 아래 이미지와 같이 VA값 0x40A044(FileOffset 0xA044)에서부터 IP 목록을 가져오게 된다.



아래 이미지와 같이 파일오프셋(FileOffset) 0xA044 위치에는 IP 목록이 저장되어 있음을 알 수 있다.



참조하기 위한 번호 EDX값을 구하기 위하여 0x4C82로 나누는 것으로 미루어, 공격에 사용할 Resolver IP의 수는 19,586개로 추정 된다.


그리고 해당 파일은 아래 이미지와 같이 "ripe.net"의 ANY 쿼리 결과를 사용하도록 하였으며, 이 결과는 일반적인 요청 결과에 비해 매우 큰 데이터 크기로 증폭 공격의 효과를 극대화하기 위해서 이다.


2) Ole[정상 윈도우 서비스명].dll (218,112 바이트)

특정 시스템으로부터 다운로드 되는 해당 파일은 기존에 발견된 동일 명칭의 악성코드와 동일한 악의적인 기능을 수행하도록 제작 되었다. 

그러나 감염된 시스템의 감염 여부 확인을 휘해 사용하는 OpenFileMappingA 함수를 호출하여 확인하는 MappingName의 값이 아래와 같이 변경되었다.

MappingName = "Global\MicrosoftUpgradeObject9.6.5"

해당 파일은 윈도우 시스템(System32) 폴더에 ole[정상 윈도우서비스명].dll 파일명으로 생성된다. 해당 파일의 파일명은 감염 될 때 마다 달라지는데 Ole 라는 문자를 접두어로 항상 일정하게 사용하고, 감염된 시스템의 윈도우 정상 DLL 파일명을 조합하여 파일명이 만들어 지는 것으로 추정 된다.

해당 ole[정상 윈도우서비스명].dll 파일은 윈도우 서비스로 동작하면서 아래와 같은 동일 조건이 생성되면 다음 경로에 파일을 생성 및 실행 하게 된다.

윈도우 시스템 폴더(System32)\wuauieop.exe(131,072 바이트)

그러나, 해당  wuauieop.exe(131,072 바이트) 파일을 생성하고 실행하기 전에 다음의 URL 접속하여 파일을 다운 받아 온다.

webmail.***************.com/mail/images/ct.jpg
www.*************.net/pictures/e02947e8573918c1d887e04e2e0b1570.jpg

다운로드가 성공하게 되면 사용자 계정의 임시 폴더(temp)에 ~MR[숫자2자리].tmp 파일을 생성하게 된다. 

3) 공격 대상 URL


wuauieop.exe (131,072 바이트)는 코드에 명시된 "ripe.net"의 ANY 쿼리의 응답을 Open Resolver를 사용하는 DNS 서버에 전송하고, 해당 결과를 정부종합센터의 네임서버(152.99.1.10, 152.99.200.6)로 유도하여 공격하는 다음과 같은 특징을 가지고 있다.


* Ripe.net의 ANY Query의 결과는 1000 바이트 이상으로 일반적인 요청에 비해 수십 배에 달함.

다수의 Open Resolver에서 ANY Query의 결과를 정부종합센터로 유도하여, 대역폭 고갈 및 네임 서버 자원 고갈을 목적으로 하는 전형적인 DNS 증폭 분산 서비스 공격 방식


공격 대상은 다음과 같이 2대의 정부종합센터의 네임서버이다.

ns.gcc.go.kr (152.99.1.10)
ns2.gcc.go.kr (152.99.200.6)

4) 공격 패킷 분석

아래 이미지와 같이 정부종합센터의 네임서버 (152.99.1.10, 152.99.200.6)가 ripe.net의 ANY 레코드를 요청한 것으로 위장하여, 결과 패킷을 정부 종합센터의 네임서버에 전송되도록 하고 있다.


Ripe.net의 ANY 레코드의 결과는 1000 바이트 이상으로, 다수의 PC에서 요청을 하여 대역폭 고갈 및 네임 서버 자원 고갈 등의 시도하고 있으며, 공격 패킷들의 특징을 정리하면 다음과 같다.

* ANY 레코드 요청 - DNSSEC 을 지원하는 RIPE.NET 에 ANY 요청하여 큰 데이터를 받음
* 출발지 IP 주소 위장 (Spoofing)하여 응답이 정부종합센터(gcc.go.kr)의 네임 서버로 전송되도록 유도

추가적인 TCP 연결이 발생되어 부하 가중될 수 있음
응답이 512 바이트가 넘어서면 DNS 에서는 Truncated 플래그를 체크하여 TCP로 전송하도록 유도 
RIPE.NET에서 3000 바이트 가 넘게 응답이 있으면, TCP로 전송 시도

* 분할(Fragement)된 패킷의 재조립으로 서버 부하 시도
 1500 바이트가 넘는 데이터는 전송 시 분할(Fragmentation) 되고, 도착지에서는 재조립(Reassemble)하면서 부하 가중

아래 이미지는 해당 파일에 감염된 PC에서 수집한 패킷 통계로 초당 약 4,400개의 DNS ANY 쿼리가 전송되는 것을 나타내고 있으며, 해당 수치는 PC의 사양에 따라 다를 수 있다.



이 번에 발견된 주요 정부기관 DNS 서버를 대상한 DNS DDoS 2차 공격을 위한 목적으로 제작된 악성코드들은 최신 엔진으로 업데이트 한 V3 제품 군에서 모두 다음과 같이 진단한다.


Trojan/Win32.Ddkr

Trojan/Win32.XwDoor 


현재 ASEC에서는 해당 악성코드들에 대한 상세 분석을 진행 중에 있으며, 추가적으로 확인된 정보들이 있을 경우에는 해당 블로그를 통해 지속적으로 업데이트 할 예정이다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

- 청와대, 국정원, 새누리당 사이트는 악성 스크립트 방식의 새로운 디도스 공격 받아 

- 정부통합전산센터는 좀비PC방식의 기존 디도스 방식 공격 받아 


안랩[대표 김홍선 www.ahnlab.com]은 25일 일부 정부기관을 공격한 디도스[DDoS: Distributed Denial of Service, 분산 서비스 거부] 공격에 대한 분석내용을 추가 발표했다. 안랩은 이번 정부기관에 대한 디도스 공격은 악성스크립트를 이용한 새로운 방식과, 악성코드에 감염된 좀비PC를 이용하는 기존 디도스 공격 방식이 혼재되어 있다고 밝혔다.

 

안랩은 청와대, 국정원과 새누리당 웹 사이트는 ‘악성스크립트 방식’의 디도스 공격을 받았고, 이는 국가적 대형 디도스 공격에 처음으로 사용된 기법이라고 밝혔다. 또한 안랩은 정부통합전산센터의 DNS[Domain Name Service]서버는 좀비PC를 사용한 기존 방식의 디도스 공격을 받은 것으로 확인했다. 

 

안랩이 최초로 확인한 ‘악성스크립트 방식’ 디도스 공격은 기존 좀비PC를 이용한 공격과 달리, 공격자가 특정 웹사이트에 악성스크립트를 설치하고 사용자들이 이 사이트를 방문하면, 미리 설정해놓은 웹사이트로 공격 트래픽을 발생시키는 방식이다. 안랩 분석결과,사용자가 악성스크립트가 설치된 해당 웹사이트에 정상 접속[방문]하자, 공격자가 타겟으로 정한 청와대, 국정원과 새누리당 웹사이트로 트래픽이 발생하는 것을 확인하였다.

 

한편, 정부통합전산센터 공격은 기존의 좀비 PC를 통한 디도스 공격 방식을 이용한 것으로 확인되었다. 공격자는 우선 25일 00시부터 특정 웹하드의 설치 파일과 업데이트 파일을 통해 개인사용자 PC를 악성코드로 감염시킨 후 좀비PC로 만들었다. 이후 25일 오전 10시에 좀비PC들이 특정 서버를 디도스 공격하도록 C&C서버[공격자가 악성코드에 명령을 내리는 서버]로 명령을 내린 것으로 확인됐다. DNS[Domain Name Service]서버는 웹 사이트 이용자들이 정부 기관의 주소를 입력하면 이를 실제 웹사이트로 연결시켜주는 기능을 하는데, 이 DNS서버가 공격을 받아 일부 정부기관 웹사이트들의 접속이 원활하지 못했던 것이다.

 

공격자는 확보한 좀비PC를 이용해 정부통합전산센터에 있는 두 대의 DNS서버[aaa.co.kr 등의 영어 주소이름을 111.222.333.444 등의 실제 웹사이트의 IP로 연결시켜주는 서버]에 무작위로 생성한 방대한 양의 도메인 이름 확인요청을 일시에 보내는 ‘DNS 디도스 방식’으로 공격을 감행했다.  또한, 많은 좀비 PC로 특정 서버에 일괄 접속하는 일반적인 디도스 공격 방식이 아니라 요청하는 정보의 크기를 늘려서 서버에 부하를 주는 방식을 사용했다. 이 방식의 디도스 공격에 사용된 악성코드 분석 정보는 안랩 ASEC블로그[http://asec.ahnlab.com/949]에서 확인할 수 있다.

 

안랩 관계자는 “이번 악성 스크립트를 이용한 디도스 공격은 지금까지 국가적 대형 디도스 공격에 보고된 적이 없는 새로운 공격방식이다. 이런 새로운 방식의 디도스 공격을 방지하기 위해서는 웹사이트 운영자들은 자신이 운영하는 웹사이트가 악성코드 유포지나 디도스공격에 이용되는 일이 없도록 보안에 만전을 기해야 한다. 더불어 사용자들은 신뢰할 수 없는 사이트 방문을 자제해야 한다.”고 말했다. 

 

안랩은 정부기관 디도스 공격에 이용된 악성코드와 별도로 일부 언론사에 대한 디도스 공격 악성코드를 발견했다고 밝혔다. 또한 하드디스크 파괴기능을 가진 악성코드도 추가로 확인했다. 안랩은 해당 악성코드들에 대해서도 이미 엔진 업데이트 등 대응을 완료했으며 현재 상세 분석 중이다.

 

안랩은 “좀비PC를 이용한 기존 방식의 디도스 공격은PC 사용자들이 백신업데이트 및 정밀검사를 통해 자신의 PC가 좀비화되지 않도록 관리하는 것이 무엇보다도 중요하다”며 PC사용자들의 주의를 당부했다. 안랩 V3는 현재 해당 좀비PC 악성코드를 모두 진단하고 있으며 안랩은 향후 악성코드 추가 발견 시 지속적으로 엔진을 업데이트 할 예정이다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

6월 25일 오전 10시에 일부 정부 기관 홈페이지를 대상으로 DDoS(Distributed Denial of Service) 공격을 수행하도록 제작된 악성코드가 발견되었다. 


ASEC에서는 해당 DDoS 공격 수행 기능을 가진 악성코드들을 신속하게 확보하여 상세한 분석을 진행 중에 있다. 현재까지 분석된 정보들은 아래와 같으며, 추가적으로 분석된 정보들은 ASEC 블로그를 통해 지속적으로 업데이트 할 예정이다.


[업데이트 히스토리]

1) 2013.06.25 - 6.25 DDoS 공격에 사용된 악성코드 상세 분석 내용 최초 작성

2) 2013.06.266.25 DDoS 공격에 사용된 악성 스크립트 상세 분석 내용 추가


1. 공격 시나리오


특정 웹하드 업체(www.simdisk.co.kr)의 설치 파일(RARSFX)을 변조하여 압축 해제 후 SimDiskup.exe 가 실행 되도록 해두었다. 


아래 이미지는 이 번에 유포된 악성코드들의 전체적인 상관 관계를 도식화한 이미지이다.



2. 주요 파일 분석 정보


1) servmgr.exe (4,383,232 바이트)


해당 파일은 전체적인 구조에서 드롭퍼(Dropper) 역할을 수행하도록 제작된 악성코드이다. 해당 파일의 리소스(Resource) 영역에는 다른 PE 파일 4개를 포함하고 있으나, 실제로는 동일한 기능을 수행하는 32비트(Bit)와 64비트(Bit) 악성코드로 나누어져 있다. 


아래 이미지는 해당 파일에 대한 구조를 도식화 한 것 이다. 



해당 악성코드가 실행이 되면 우선 감염된 시스템의 운영체제 버전 정보를 체크한 후, OpenFileMappingA 함수를 호출하여 동일한 악성코드에 이미 감염되어 있는지를 확인하게 된다.


MappingName = "Global\MicrosoftUpgradeObject9.6.4"

 

그리고 감염된 시스템의 윈도우가 32비트인지 64비트 운영체제인지를 확인하여, 해당 윈도우 운영체제  환경에 맞는 파일들을 생성하게 된다. 그리고 GetVersionExA 함수를 이용하여 윈도우 운영체제의 버전 정보가 6.0 (Vista) 이상일 경우에는 UAC(User Access Control)를 무력화 한 후 다른 파일들을 추가로 생성하게 된다.


우선 32비트 윈도우 운영체제에서는 %Temp% 폴더에 ~DR(임의의 숫자).tmp (1,995,776 바이트) 파일을 생성 한 후에 별도의 인자값 없이 LoadLibaray 함수를 호출하여 자신을 로드 하게 된다.


이후 다시 Ole(윈도우 정상 서비스명).dll (936,448 바이트) 파일을 생성하고 윈도우 서비스로 등록 한다. ~DR(임의의 숫자).tmp가 생성한 파일은  "Ole" 문자열과 감염된 시스템의 윈도우 서비스명을 조회하여 이를 조합하여 파일명을 생성하게 된다.  


해당 Ole(윈도우 정상 서비스명).dll 파일은 특정 파일을 다운로드 한 이 후, 다운로드 한 파일에서 특정 조건이 확인 되면 DoS(Denial of Service) 공격을 수행하는 파일을 생성하고 실행하게 된다.


그리고 64비트 윈도우 운영체제에서는 다음 2개 파일 생성 한 이후에 CreateProcessA 함수를 이용하여 실행하게 된다.


* 사용자 계정의 임시 폴더(Temp)에 ~ER6.tmp (215,048 바이트)

64비트 윈도우 운영체제에서 UAC 무력화 기능을 수행하는 파일이다.


사용자 계정의 임시 폴더(Temp)에 ~DR7.tmp (146,170 바이트)

32비트 윈도우 운영체제에서 로드 한 파일과 동일한 기능을 수행하는 파일로 Ole(정상윈도우서비스명).dll 파일을 윈도우 서비스로 등록하게 된다.


그리고 해당 파일들을 실행하기 위한 인자값으로 다음을 사용한다.


"C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\~ER6.tmp" 

"C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\~DR7.tmp"

 

해당 파일들이 정상적으로 실행이 되면 이 후 다음 배치(Batch) 파일을 생성하여, 자기 자신을 삭제하게 된다.


C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\ud.bat


2) Ole(윈도우 정상 서비스명).dll (936,448 바이트) 


해당 악성코드는 윈도우 시스템 폴더(system32)에 ole(윈도우 정상 서비스명).dll 라는 파일 형태로 생성하여 실행 된다. 


그러나 드로퍼에 의해 감염 될 때 마다 임의의 문자열을 사용하여 파일명이 달라지게 된다. 파일의 첫 문자열인 Ole는 접두어로 항상 일정하게 생성되나, 나머지 문자열은 감염된 시스템에 존재하는 정상 윈도우 시스템 파일들 중 하나의 DLL 파일명을 조합하여 사용하는 것으로  추정 된다. 


그리고 해당 파일은 윈도우 서비스로 동작 하며, 다음의 URL로 접속을 시도하여 성공하게 될 경 다른 파일을 다운로드 하게 된다.


webmail.genesyshost.com/mail/images/ct.jpg

www.hostmypic.net/pictures/e02947e8573918c1d887e04e2e0b1570.jpg


파일 다운로드가 성공하게 될 경우에는 사용자 계정의 임시 폴더(Temp)에 ~MR(임의의 숫자 2자리).tmp 파일을 생성하게 된다. 


해당 파일은 시그니쳐('BM6W')와 시간 정보(6월 25일10:00)를 포함하고 있는 데이터 파일로서, 감염된 시스템의 시간 정보를 비교하여 동일 할 경우에는 윈도우 시스템 폴더(system32)에 wsauieop.exe(847,872 바이트) 파일을 생성하고 실행하게 된다.


3) wuauieop.exe (847,872 바이트)


윈도우 시스템 폴더(system32)에 생성된 wuauieop.exe (847,872 바이트) 파일은 DDoS 기능을 수행한다. 


해당 파일 내부에는 DDoS 공격의 대상이 되는 시스템의 IP 2개가 하드코딩되어 있으며, 각각 쓰레드로 무한루프를 돌면서 DDoS 공격이 이루어 지게 된다.


* Thread Function(1) (=401110) 공격 대상 IP: "152.99.1.10:53"



* Thread Function(2) (=4012A0) 공격 대상 IP: "152.99.200.6:53"


이 외에 추가로 2개의 쓰레드 루틴을 더 생성하여 임의의 도메인명을 생성하게 된다. 이는 임의의 도메인명들을 생성하여 DDoS 공격효과를 증대 시킨 것으로 추정 된다. 

 

생성하는 임의의 도메인명들은 "[임의의 문자열].gcc.go.kr" 을 가지고 있으며, 사용하는 임의의 문자열은  a~z 까지의 ASCII로 무작위로 채워진다.


그리고, 도메인명에 사용하는 임의의 문자열은 최대 길이는 28자를 넘을 수가 없도록 제작 되었다.



4) ~SimDisk.exe (3,405,824 바이트)


해당 파일은 인터넷에 공개되어 있는 토르(Tor) 프로그램의 소스코드를 사용하여 제작된 파일로 네트워크 접속 정보의 감시, 추적 및 분석을 어렵게 하기 위한 목적으로 제작 된 것으로 추정된다.


다음 경로에 다수의 파일들을 생성하며 생성한 파일들의 파일명은 윈도우 시스템 폴더(System32)를 조회하여 사용하는 것으로 추정된다.


C:\Documents and Settings\(사용자 계정명)\Application Data\Identities\{e38632c0-f9a0-11de-b643-806d6172696f}


cmd.exe (Npkcmsvc.exe) - conime.exe (tor.exe) 를 구동하는 런처 프로그램

config.ini - cmd.exe 가 참조하는 구성 설정 파일

conime.exe - 토르(Tor) 프로그램의 소스코드를 사용하여 제작한 파일


3. DNS(Domain Name Service) DDoS 트래픽 분석


1) DNS DDoS


DNS DDoS는 DNS 서버에 과도한 양의 네트워크 트래픽(Network Traffic)을 전송하여, 정상적인 DNS 조회가 성공하지 못하도록 서비스 거부를 유발하게 된다.


발생하는 트래픽은 2 개의 DNS 서버를 목표로 공격하였으며, 공격 대상이 되는 해당 네임 서버는 주요 정부 기관에서 사용하는 것으로 이로 인해 이번 공격의 대상이 된 것으로 추정된다.


ns.gcc.go.kr (152.99.1.10)

ns2.gcc.go.kr (152.99.200.6)


해당 악성코드에 의해 발생한 DDoS 공격 트래픽의 특징을 정리하면 다음과 같다.


일반적인 경우 A Query인데 반해, 모두 ANY Query를 전송

질의는 하나의 NS에 전송하는 데 반해, 152.99.1.10, 152.99.200.6 을 동시에 요청

일반적인 DNS Query는 소량의 트래픽이지만, DNS 서버 부하를 위해 데이터 크기를 1300~1400 Byte로 조정


ANY 레코드가 사용 된 점은 "gcc.go.kr" 의 주 네임 서버를 효과적으로 공격하기 위한 것이며, [임의의 문자열].gcc.go.kr 를 쿼리(Query)에 사용한 점은 랜덤 호스트명을 사용하여 캐쉬(Cached) 된 정보 재사용으로 인해 공격 효과가 떨어지는 것을 막기 위해서 이다. 그리고 약 1400 bytes 의 데이터를 사용한 것은 공격 네임 서버로의 밴드위쓰(Bandwidth)  소모하기 위해서이다.


악성코드에 의해 생성된 패킷(Packet)에서는 초당 약 712회의 DNS Query를 전송하는 것으로 확인 되었다.



DNS Query의 형식은 아래 이미지와 같이 [임의의 문자열의 호스트 이름].gcc.go.kr로 되어 있다.



4. DDoS 공격 악성 스크립트 분석


1) 스크립트 기반의 DDoS 공격 시나리오


이번 6.25 DDoS 공격에는 기존의 좀비 PC를 이용한 공격 외에 악성 스크립트를 이용한 공격 방식이 이용됐다. 이 경우, 일반 사용자가 웹 브라우저를 통해 변조된 서버를 방문하는 것만으로 악성 트래픽을 발생하게 된다.



위 이미지는 스크립트(Script) 기반의 DDoS 공격의 시나리오를 재구성한 것으로, 주요 공격 진행 과정은 다음과 같다.


* 공격자는 사전에 다수의 불특정 사용자들이 방문하는 경유지 서버를 해킹

* 경유지 서버에서 사용하는 정상적인 페이지에 DDoS 공격 스크립트 삽입

* 불특정 다수 사용자들이 웹 브라우저로 경유지 서버 방문시, 사용자 PC 상에서 DDoS 공격 스크립트 실

* 스크립트에 설정된 공격 대상 서버에 다량의 HTTP GET을 요청해 악성 트래픽 유발


2) 경유지/공격대상 서버 정보


* 경유지 서버


경유지로 이용된 서버는 외국인들이 주로 이용하는 하숙/고시원 정보 제공 사이트로, 공격 목적에 따라 다음과 같이 일부 파일이 변조되었으나 현재 정상화되었다.



* 공격 대상 서버

공격 대상인 3개 사이트의 총 60개 하위 URL을 대상으로 DDoS HTTP GET 공격이 이루어졌다.



3) 공격 트래픽 분석


* HTTP GET 패킷 정보


아래 이미지는 HTTP GET 요청 패킷 정보로, 아래 표의 HTTP GET 요청의 특징적인 부분을 확인할 수 있다.




* DDoS 트래픽 통계 정보


공격 스크립트는 아래 이미지와 같이 0.25 ms 단위로 공격 대상 URL을 랜덤으로 선택하여 HTTP GET 요청을 시도하도록 구현되어 있다.



분석 환경에서 재현한 결과, 아래 이미지과 같이 대략 초당 60회의 HTTP GET 요청을 시도하는 것으로 분석되었으나, 사용자 시스템에 따른 영향이 있을 수 있다.



4) 공격 스크립트 구성


공격자는 다음과 같이 다수의 사용자가 방문하는 경유지 서버(www.********.co.kr)를 해킹하여 DDoS 공격을 수행하는 스크립트를 삽입하였다.


[메인 페이지]

www..*********.co.kr/index.html - 청와대 공격용 스크립트 삽입



위 이미지는 경유지 서버의 메인 페이지가 변조 전의 코드들이며, 아래 이미지는 공격자에 의해 변조된 메일 페이지 모습을 나타낸다.



[공통 자바 스크립트 파일]

www..*******.co.kr/common/js/common.js - 새누리당/국정원 공격용 스크립트 삽입



위 이미지는 경유지 서버의 변조 전의 자바 스크립트(Java Script) 코드이며, 아래 이미지는 공격자에 의해 변조된 자바 스크립트 코드 모습을 나타낸다.



아래 이미지와 같이 makeHTTPRequest 함수에서 실제 공격 URL을 구성해 HTTP GET 요청 트래픽을 발생시킨다.



아래 이미지와 같이 setInterval 함수를 이용해 일정 시간 단위로 공격 URL을 요청하는 settingUrl 함수를 호출한다.



5) 공격 대상 상세 정보


아래 표와 같이 공격 대상인 3개 사이트의 하위 URL 총 60개를 대상으로 HTTP GET 요청을 반복적으로 수행한다.



6월 25일 오전 정부 기관 홈페이지를 대상으로 발생한 DDoS(Distributed Denial of Service) 공격을 수행하도록 제작된 악성코드들은 2013.06.25.04 버전 이후의 최신 엔진으로 업데이트 한 V3 제품군들에서는 모두 다음과 같이 진단한다.


Trojan/Win32.Ddkr 

Trojan/Win32.XwDoor


앞서 언급한 바와 같이 ASEC에서는 상세한 분석을 진행 중에 있으며, 추가적으로 확인 된 정보들에 대해서는 본 블로그를 통해 지속적으로 업데이트 할 예정이다.


저작자 표시 비영리 변경 금지
신고
Posted by 비회원

2012년 7월 21일 일본 국내 언론들을 통해 "Finance Ministry reveals 2010-2011 computer virus; info leak feared" 일본 재무성에서 2010년에서 2011년 2년 사이에 감염된 악성코드가 발견되었으며, 이로 인해 내부 정보가 유출 되었을 것으로 추정된다는 기사가 공개 되었다.


ASEC에서는 해당 침해 사고와 관련한 추가적인 정보와 관련 악성코드를 확인하는 과정에서 해당 침해 사고와 관련된 악성코드를 확보하게 되었으며, 해당 악성코드는 약 1년 전인 2011년 9월 경에 발견된 것으로 파악하고 있다.


이번에 파악된 악성코드가 실행되면 해당 파일이 실행된 동일한 경로에 다음 파일을 생성하고, 정상 시스템 프로세스인 explorer.exe에 스레드로 인젝션하게 된다.


C::\[악성코드 실행 경로]\tabcteng.dll (114,688 바이트)


그리고 다음 레지스트 경로에 키 값을 생성하여 감염된 시스템이 재부팅하더라도 자동 실행 되도록 구성하게 된다.


HKLM\SYSTEM\ControlSet001\Services\Netman\Parameters\ServiceDll

"C:\[악성코드 실행 경로]\tabcteng.dll"


감염된 시스템에 존재하는 인터넷 익스플로러(Internet Explorer)의 실행 파일 iexplorer.exe를 실행 시켜 HTTP로 외부에 존재하는 시스템으로 접속을 시도하나 테스트 당시에는 정상 접속이 되지 않았다.


이 번 일본 재무성 침해 사고와 관련된 악성코드는 전형적인 백도어 형태의 악성코드로 실질적 악의적인 기능들은 생성된 tabcteng.dll (114,688 바이트) 에 의해 이루어지게 된다.


키보드 입력 가로채는 키로깅(Keylogging)

파일 생성 및 삭제

폴더 생성 및 삭제

운영 체제 정보

MAC 어드레스, IP, 게이트웨이(Gateway), WINS 서버 및 DNS 서버 주소

메모리, 하드 디스크 및 CPU 등 하드웨어 정보

생성되어 있는 사용자 계정들 정보


위와 같은 악의적인 기능들을 미루어 볼 때 해당 악성코드는 감염된 시스템을 거점으로 내부 네트워크의 다양한 정보들을 수집하기 위해 제작된 것으로 추정된다.


이 번에 알려진 일본 재무성 침해 사고 관련 악성코드는 V3 제품군에서 다음과 같이 진단한다.


Dropper/Win32.Agent 

Trojan/Win32.Agent 

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

DNS Changer는 2005년경 해외에서 처음 발견된 악성코드로 2011년 제작자가 체포되기 전까지 다양한 변형들이 유포되어 감염 피해를 유발했다.


이 악성코드의 특징은 감염된 시스템의 네트워크 설정 중 dns 서버 IP를 제작자가 운영하는 것으로 변경하는 것이다. DNS 서버의 IP를 변조하는 것은 DNS Changer 이외에도 다른 여러 악성코드들이나 파밍과 같은 사기 수법 등 다양한 형태의 공격 방식에서 사용되고 있다. DNS 서버의 IP를 제작자가 의도한 것으로 변경하면 웹 브라우저를 이용해 정상 웹 사이트의 도메인에 접속할 때 제작자가 의도한 사이트로 접속을 하도록 쉽게 조작할 수 있다. 이 경우 악성코드를 제거하더라도 사용자가 dns가 변경된 것을 인지 하지 못하는 경우 이로 인해 다시 감염이 될 가능성이 높기 때문에 지속적인 피해를 당할 가능성이 높다.

 

DNS Changer의 경우에도 감염 시 웹브라우저를 이용해 정상적인 사이트에 접속할 때 악성코드를 감염시키는 페이지로 접속 하도록 변경하여 2차 감염의 피해를 유발한다. 더구나 이 악성코드는 제작자가 감염된 시스템을 좀비PC화하여 다양한 용도로 사용하기 위해 제작되었기 때문에 감염된 시스템은 PC 사용자 정보의 유출뿐 아니라 다른 시스템을 공격하는 등 여러 가지 문제를 유발했을 가능성이 높다.

 

DNS Changer Working Group( http://www.dcwg.org )의 자료에 의하면 이 악성코드에 감염이 된 시스템은 대부분 미국과 유럽에 위치하고 있고 약 30-40만대 정도의 시스템이 현재 감염이 된 상태로 보인다.

 

[그림1] DNS Changer 감염 현황

 

감염 피해 현황에 대한 정보는 DCWG에서 제공하는 감염된 시스템의 Unique IP 로 추정해볼 수 있다.

  • DNS Changer 감염 Unique IP 현황

       - http://www.dcwg.org/updated-dns-changer-data-daily-count-of-unique-ip-addresses/

 

다만 감염된 시스템들이 모두 항상 켜져 있는 것은 아닐 것이므로 이 수치는 대략적인 것이고 실제로는 더 많은 시스템들이 감염이 되어있을 것으로 보인다.

 

다행스러운 것은 현재는 제작자가 검거되었기 때문에 봇넷은 더 이상 동작하지 않을 가능성이 높다는 것이다. 그렇다고 해도 이 악성코드의 변형이 매우 많고 다양한 기능들이 아직 동작하고 있을 것이므로 여전히 이 악성코드 감염으로 인한 피해의 가능성은 남아있는 상황이다.

 

그 중 가장 큰 문제가 되는 것이 변경된 DNS 서버 주소로 인한 것이다. FBI에서는 악성코드 제작자가 운영하던 DNS 서버를 7월 9일 정지시킬 예정인데 감염되어 DNS 서버의 주소가 변경된 경우 DNS 서버를 사용할 수 없게 되므로 도메인을 이용한 웹 사이트 접속 등의 통신이 불가능하게 된다.
개인 PC 뿐 아니라 도메인을 이용해 서버간 통신을 하는 경우에도 DNS 서버를 사용할 수 없게 되므로 인해 대상 서버의 IP 주소를 찾지 못해 서비스에 장애가 발생할 가능성이 있다. 특히 웹서버와 같은 도메인을 많이 사용하는 시스템들은 주의가 필요하다.

 

정부의 발표에 따르면 국내에서 DNS Changer의 감염 수치가 미비한 수준이라 이 악성코드에 의한 영향이 많지는 않을 것이라고 하고 DCWG에서 발표한 감염 피해 현황에도 국내의 감염 피해가 많은 것 같지는 않지만 장애 예방 차원의 점검을 해볼 필요는 있다.

 

가장 문제가 될 소지가 있는 통신 장애에 대비해 자신이 사용하고 있는 시스템이 감염되었는지 간단하게 확인을 해볼 필요가 있는데 이를 위해서는 DNS 서버의 주소가 아래의 악성 서버로 변경되어 있는지 조사를 해보면 된다.

 

DNS Changer의 악성 DNS 서버 목록 
 시작 IP  마지막 IP  CIDR
 85.255.112.0  85.255.127.255  85.255.112.0/20
 67.210.0.0  67.210.15.255  67.210.0.0/20
 93.188.160.0  93.188.167.255  93.188.160.0/21
 77.67.83.0  77.67.83.255  77.67.83.0/24
 213.109.64.0  213.109.79.255  213.109.64.0/20
 64.28.176.0  64.28.191.255  64.28.176.0/20

[표1] DNS Changer가 운영하는 악성 DNS 목록

 

기업 사용자는 내부 서버들의 네트워크 설정 정보를 점검하는 것이 좋겠지만 환경이 되지 않는 경우 위의 주소로 dns 쿼리 등 통신을 하는 시스템이 있는지 방화벽 등 네트워크 장비를 모니터링 해보는 것을 권장한다.

 

개인 사용자는 아래 사이트에 접속을 하는 것만으로도 위 표에 나온 DNS 서버를 사용하고 있는지 체크를 해주므로 접속을 해볼 것을 권장한다.

  • DNS Changer 감염여부 점검하기

      - http://www.dns-ok.us/

[그림2] DNS Changer 감염여부 체크하기


또한 보호나라에서 DNS Changer와 관련해 발표한 정보를 참고하면 피해 예방에 도움이 될 수 있다.

  • 보호나라의 DNS Changer 정보보기

      - http://www.boho.or.kr/kor/notice/noticeView.jsp?p_bulletin_writing_sequence=960

  • 보호나라에서 제공하는 DNS Changer 전용백신

      - http://download.boho.or.kr/vacc_care/vacc_board_view_frame.jsp?vac_id=VAC20120613002

 

마지막으로 악성코드에 대한 이해를 돕기 위해 미국 FBI에서 발표한 내용을 참고해볼만 하다.

 - http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

 

DNS Changer가 다양한 변형이 있고 감염 시 여러 악성코드들을 설치하기 때문에 위에 감염이 의심되는 경우 위에 제시한 여러 가지 내용 중 DNS 주소를 체크하는 것과 전용백신을 이용한 검사는 병행을 하는 것을 권장한다. 다만 이 악성코드의 경우 5년 가까운 오랜 기간 동안 변형이 유포되었기 때문에 전용백신이라고 해도 미진단되는 변형이 있을 가능성이 있다. 따라서 사용하고 있는 백신이 있다면 최신 엔진으로 업데이트 후 추가로 검사를 해보는 것이 좋다.

저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC

현지 시각으로 6월 12일 마이크로소프트(Microsoft)에서는 XML 코어 서비스(Core Services)에 알려지지 않은 제로 데이(Zero Day, 0-Day) 취약점이 발견되었음을 보안 권고문 "Microsoft Security Advisory (2719615) Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution"을 통해 공개한 바가 있다.


해당 취약점은 공격자가 지정한 임의 코드를 실행 할 수 있는 코드 실행 취약점이며, 해당 XML 코어 서비스를 사용하는 윈도우(Windows) 운영체제와 오피스(Office) 2003과 2007 버전에서 악용이 가능하다.


해당 취약점은 현재까지도 마이크로소프트에서 보안 패치를 제공하지 않는 제로 데이 취약점이며, 임시 방안으로 해당 취약점을 제거 할 수 있는 픽스 잇(Fix it)을 보안 공지 "Microsoft 보안 공지: Microsoft XML Core Services의 취약성으로 인한 원격 코드 실행 문제"를 통해 배포 중에 있다.


해당 XML 코어 서비스를 악용하는 스크립트 악성코드가 해외에서 발견되는 사례가 서서히 증가하고 있어 주의가 필요하다.


최근 발견된 해당 제로 데이 취약점을 악용하는 스크립트 악성코드는 아래 이미지와 같은 형태의 쉘코드(Shellcode)가 구성되어 있다.



해당 스크립트 악성코드에 포함된 쉘코드가 실행되면 홍콩에 위치한 특정 시스템에서 css.exe (32,936 바이트)를 다운로드 한 후 실행하게 된다.


해당 파일이 실행되면 윈도우 운영체제에서 실행되는 정상 프로세스인 explorer.exe의 스레드로 자신의 코드들을 아래 이미지와 같이 삽입하게 된다



그리고 자신의 코드들이 정상적으로 스레드 인젝션을 하게 되면 구글(Google)의 공개용 DNS 서버로 질의를 송신하여 감염된 시스템이 인터넷에 정상적으로 연결되어 있는지 확인하게 된다.


그 후 싱가포르에 위치한 특정 시스템에 접속을 시도하게 되다, 분석 당시에는 해당 시스템으로 정상적인 접속이 이루어지지 않았다.


해당 악성코드는 감염된 시스템에서 하드웨어 정보, 운영 체제 정보 및 커맨드라인(Command-Line) 명령을 실행하게 된다.


앞 서 언급한 바와 같이 해당 XML 코어 서비스 취약점은 보안 패치가 제공되지 않는 제로 데이 취약점임으로 각별한 주의가 필요하며, 임시 방안으로 마이크로소프트에서 제공하는 픽스 잇을 설치할 수도 있다.


이 번에 발견된 해당 XML 코어 서비스 취약점을 악용하는 악성코드들은 V3 제품 군에서 다음과 같이 진단한다.


JS/Agent 

Win-Trojan/Dekor.32936 


그리고 네트워크 보안장비 트러스가드(TrusGuard) 제품군에서는 다음과 같이 탐지 및 차단이 가능하다.


http_ie_heap_spray_attack-4(HTTP)

ms_xml_core_service_exploit(CVE-2012-1889)


저작자 표시
신고
Posted by 비회원
마이크로소프트(Microsoft)에서 2012년 2월 한달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 3월 14일 배포하였다.

이번에 마이크로소프트에서 배포된 보안 패치들은 총 6건으로 다음과 같다.

DNS 서버의 취약점으로 인한 서비스 거부 문제점 (2647170)

Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2641653)
 
Microsoft Security Bulletin MS12-019 - 보통
DirectWrite의 취약점으로 인한 서비스 거부 문제점 (2665364)
 
원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점 (2671387)

Microsoft Security Bulletin MS12-021 - 중요
Visual Studio의 취약점으로 인한 권한 상승 문제점 (2651019)

Microsoft Security Bulletin MS12-022 - 중요
Expression Design의 취약점으로 인한 원격 코드 실행 문제점 (2651018)


다양한 악성코드들이 마이크로소프트의 윈도우 보안 취약점을 악용함으로 미리 보안 패치 설치를 통해 악성코드의 감염을 예방 하는 것이 좋다.

마이크로소프트의 보안 패치 설치는 인터넷 익스플로러(Internet Explorer) 사용자들의 경우 아래 웹 사이트를 통해 진행 할 수 있다. 

마이크로소프트 업데이트   

저작자 표시
신고
Posted by 비회원
안철수연구소 ASEC에서 2011년 11월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2011 Vol.23을 발간하였다.


이 번에 발간된 ASEC 리포트는 2011년 11월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다.

DNS 서버 이상? BIND 제로데이
화학 업체를 대상으로 한 니트로 보안 위협
윈도우 커널 제로데이 취약점을 이용한 '듀큐' 악성코드
네트워크 분석기, 와이어샤크를 겨냥한 exploit
안드로이드 악성코드 FakeInst 변종 1600개로 급증
유럽을 타깃으로 제작된 안드로이드 악성 애플리케이션

안철수연구소 ASEC에서 발간하는 월간 보안 위협 동향 리포트는 아래 웹 사이트에서 확인 할 수 있다


ASEC 보안 위협 동향 리포트 2011 Vol.23 발간
 
저작자 표시
신고
Posted by 비회원

ASEC Advisory SA-2011-001
최초 작성일 : 2011/11/17
마지막 개정 : 2011/11/17 09:30:00
위험 수준 : 위험


◈ 제목
 
BIND의 불안전한 레코드 구성에 의한 제로데이 서비스거부 공격
 
◈ 개요
 
2011년11월16일 오후부터 확인되지 않은 공격에 의해 일부 BIND 를 이용하는 곳에서 해당 서비스가 Crash 되는 문제가 보고되었다. 해당 취약점은 제로데이(Zero-Day) 공격으로 현재 세부적인 사항은 조사가 진행중이다.
 
주의: 실제 피해 사례가 보고되었고, BIND 를 이용하는 곳에서는 빠른 시일내에 업데이트 할 것을 강력히 권고한다.
 
◈ 공격유형
 
서비스 거부 공격
 
◈ 해당시스템
 
BIND 가 지원하는 모든 버전 (9.4-ESV, 9.6-ESV, 9.7.x, 9.8.x)
 
◈ 영향
 
공격자는 조작된 패킷을 BIND 가 운영되는 서버로 전송하여 DNS 서비스를 Crash 할 수 있다. 이로 인해 정상적인 DNS 서비스가 불가능해 진다.
 
◈ 설명
 
이 취약점은 특정 BIND 소프트웨어 버전에 한정되지 않고 모든 BIND 버전에 영향을 줄 수 있다. DNS(Domain Name System)는 인터넷 인프라의 중요한 요소로 호스트 이름을 IP 주소로 변경해 주거나 또는 반대의 역할을 수행한다. 공격자는 조작된 DNS 정보를 전달하여 조작된 DNS 정보에 의해 BIND 서비스가 Crash 되도록 유도한다.
 
이 공격기법 은 서비스거부 공격으로 원격에서 공격이 가능하다. 공격 발생시 BIND 로그에 다음과 같이 기록된다.
 
general: critical: query.c:1895: INSIST(! dns_rdataset_isassociated(sigrdataset)) failed, back trace
general: critical: exiting (due to assertion failure)
 
현재 이번 취약점과 관련하여 공격코드는 아직 알려져 있지 않다. 취약점 발생은 Recursive 쿼리를 수행하는 과정에서 캐쉬에서 RRSIG 데이터가 존재하지 않는 레코드를 돌려주는 과정에서 문제가 발생하는 것으로 알려져 있다. 현재 캐쉬상에서 불안전한 데이터를 돌려주는 것을 방지하기 위해 패치가 제작되었다.
 
◈ 자주묻는 질문(FAQ)
 
- 이번 취약점이 어떤 영향을 줄 수 있는가?
조작된 패킷 전송을 통해 원격지에서 공격자가 BIND 로 운영하고 있는 DNS 서비스를 중지시킬 수 있다.
 
- 어떤 제품이 영향을 받나?
BIND 로 운영되고 있는 소프트웨어가 영향을 받는다.
 
- 왜 이번 취약점이 큰 문제를 야기할 수 있나?
DNS 는 인터넷 인프라에서 중요한 서비스중에 하나이며, 호스트 주소를 IP 로 변경해 주는 역할을 담당하고 있기 때 문에 꼭 필요한 서비스이다. 이번 취약점은 조작된 패킷 전송을 통해 DNS 서비스를 중지할 수 있기 때문에 큰 문제를 발생시킬 수 있다. BIND 는 DNS 를 운영하는 곳에서 많이 사용되고 있는 소프트웨어중에 하나이다.
 
- 이 취약점은 어떻게 보고되었나요?
2011년11월16일 오후부터 BIND 가 알수 없는 이유로 중단되는 이슈가 보고되면서 알려졌다. 해당 취약점은 기존에 보고되지 않은 제로데이 취약점이다.
 
- 도메인 이름 시스템(DNS:Domain Name System)이란 무엇인가 ?
DNS 시스템은 사용자들이 기억하기 어려운 숫자 체계로 된 네트워트 IP 주소를 인지하기 쉬운 알파벳 체계의 인터넷 도메인 주소로 매핑해주는 시스템이다. DNS는 2개의 컴포넌트인 클라이언트와 서버로 구조로 되어 있으며, 클라이언트가 도메인 주소에 대해 서버에게 쿼리를 보내면 서버가 DSN 시스템의 데이터베이스를 참조하여 이에 해당하는 네트워크 IP주소를 응답해 준다.
 
- DNS를 사용하는 개인들도 패치가 필요한가?
금번 취약점은 BIND DNS 서버에 해당된다. 그러므로 DNS 서버를 운영하지 않는 개인들은 패치가 필요하지 않다.
 
◈ 해결책
 
BIND 소프트웨어의 패치를 적용하여 문제를 해결한다.
 
https://www.isc.org/software/bind/981-p1
https://www.isc.org/software/bind/974-p1
https://www.isc.org/software/bind/96-esv-r5-p1
https://www.isc.org/software/bind/94-esv-r5-p1
 
◈ 참고정보
 
- CVE 정보 : CVE-2011-4313
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4313
 
- ISC 사의 BIND 취약점 권고문
http://www.isc.org/software/bind/advisories/cve-2011-tbd
저작자 표시
신고
Posted by 비회원