독일 시스템에 대한 DDoS 공격 악성코드 발견

2009년 8월 3일에서 4일 독일에 위치한 특정 시스템으로 분산 서비스 거부 공격(DDoS)을 수행하는 악성코드들이 발견되었다는 보고가 2009년 8월 5일 ASEC으로 전달 되었다.

분산 서비스 거부 공격은 전 세계에 위치한 102대의 악성코드에 감염된 좀비(Zombie) 시스템들에 의해서 이루어졌으며 공격을 받은 시스템은 독일에 위치한 시스템으로 최초 보고 되었다.

악성코드에 감염된 좀비 시스템들은 위 이미지에서와 같이 전 세계에 걸쳐서 다양하게 분포되어 있으며 다행스럽게도 한국 내에 존재하는 시스템은 없었다.

그러나 ASEC에서 분석을 진행하는 과정에서 공격 대상이 되는 시스템은 악성코드에 감염된 좀비 시스템을 조정하는 커맨드 앤 컨트롤 (C&C, Command and Control) 시스템을 통해  악성코드 제작자 또는 악의적인 공격자 명령에 따라서 공격 대상이 변경 되는 것으로 분석 되었다.

해당 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/IRCBot.20480.F

해당 악성코드가 실행이 되면 아래 이미지에서와 같이 특정 IP 대역의 시스템으로 ICMP 체크를 통해 응답이 오는 시스템들에 대해 원격 접속 프로그램인 Radmin 프로그램의 기본 포트인 TCP/4899 로 접속을 시도한다.

그리고 C&C 시스템을 통해  악성코드 제작자 또는 악의적인 공격자가 지정한 시스템으로 TCP Syn flooding 형태의 분산 서비스 거부 공격을 수행하게 된다.

해당 IRCBot 악성코드에 감염된 좀비 시스템들을 조종하는 C&C 시스템은 중국에 위치하고 있으며 해당 시스템의 웹 페이지에서는 아이프레임(iFrame)을 통해 다른 악성코드를 유포 중에 있었다.

중국에 위치한 C&C 시스템에서 유포하는 악성코드는 V3  제품군에서 다음과 같이 진단한다.

Win-Trojan/Downloader.9728.OP

ASEC에서 이번 독일 시스템에 대한 분산 서비스 거부 공격에 사용된 악성코드와 C&C 시스템에 대한 분석으로는 특별한 용도로 제작된 웹 익스플로잇 툴 킷을 통해 조정되거나 악성코드가 유포되고 있는 것으로 추정된다.

이러한 악성코드의 감염으로 인해 좀비 시스템으로 악용 되는 것을 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오피스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.