2019-12-09 23:10 (월)
DDoS 공격용 변종 봇 에이전트 계속 유포 중!
상태바
DDoS 공격용 변종 봇 에이전트 계속 유포 중!
  • 길민권
  • 승인 2012.10.08 03:59
이 기사를 공유합니다

웹 서버에 Get flooding과 Post flooding 공격 기능 갖춰
빛스캔(대표 문일준)과 KAIST 정보보호대학원이 공동 운영하는 보안정보 제공 서비스 9월 4주차 국내 인터넷 환경의 위협 분석내용 보고서에 따르면, 9월 4주차는 9월 3주차에 비해 신규 악성링크 수치가 감소했다. 감소 이유는 중국의 최대 명절인 중추절 연휴(29일~10월 1일)과 국경절 연휴(10월 1일~7일)가 맞물린 결과라고 평가했다.
 
하지만 지난해 같은 기간에 비해서는 큰 폭으로 공격이 증가했다. 지난해 중국 연휴 기간에는 악성코드 유포를 위한 공격이 거의 발생되지 않은 반면 올해는 전년 대비 대폭 증가된 공격 비율을 보인 것이다.  
 
전상훈 빛스캔 기술이사는 “9월 4주차 공격 동향에서는 30여 곳의 방송국과 언론사가 연결되어 있는 타깃형 광고 서비스링크를 통해 국내 주요 백신들에서는 감지 되지 않는 최종 악성코드를 대규모로 유포한 것이 발견됐다”며 “최초 탐지는 9월 28일 저녁 8시에 탐지되었다. 타깃형 광고 링크에 추가된 악성링크는 KISA에 전달해 피해를 예방토록 했다. 추석 연휴기간 동안 국내 주요백신에서는 탐지가 되지 않는 상태였고 10월 4일 확인 결과 다수의 국내 백신벤더에서 탐지가 되는 것으로 확인됐다”고 밝혔다.
 
또 “다른 특징으로는 한국을 특징한 DDos 공격 용도의 봇 에이전트가 유포된 상태이므로 향후 피해 발생에 대해 주의를 기울여야 한다”며 “DDos 공격에 이용되는 봇 Agent의 경우 9월 2주차부터 지속적으로 유포되고 있다. 지난주에 발견된 악성코드는 구글 크롬 브라우저로 위장했고 C&C서버로 통신(http://ddos.t0539.com:888)을 하며 HTTP 웹 서버에 대해 Get flooding과 Post flooding DDoS를 공격할 수 있는 기능을 갖추고 있었다”고 설명했다.

 
또 “해당 악성코드 내부에서 KOREA라는 단어가 발견된 점으로 미루어 보아 한국을 대상으로 유포 및 공격 의사를 가지고 있는 것으로 판단된다”고 덧붙였다.
 
보고서에 따르면, 기존에 많이 이용되었던 Darkshell 같은 중국발 원격제어도구(RAT, Remote Administration tool)와 유사한 형태를 보이나 HTTP 서버를 대상으로만 하는 DDoS 공격 형태를 보아 HTTP 서버를 공격 목적으로 한 최신 DDoS 변종 악성코드인 것으로 확인됐다고 한다.
 
전 이사는 또 “예전부터 주장한 대로 현재 공격자들은 악성코드를 유포하는데 여러 단계를 거친 다단계 유포 통로(MalwareNet)를 적극 활용하고 있다. 배너광고 사이트중 한 곳이 해킹을 당해 여러 유력 언론사, 대형 커뮤니티, 대형 오픈마켓, 파일공유 사이트에 동시에 악성코드를 유포한 정황이 포착됐다”며 “짧은 시간이었지만 광고 사이트에 들어간 링크가 수 많은 웹 사이트에 들어가 있던 점을 감안하며 수많은 좀비 PC가 양산되었을 것으로 판단된다. 향후 중대한 사건, 사고의 이면에는 지금까지 누적되어 있던 다양한 위험요소들이 결정적인 영향을 미치게 될 것이다. 사전에 위험을 줄이지 않는다면 감당하기 어려운 상황에 직면하게 될 것”이라고 경고했다.
 
한편 9월 3주차에 이어 4주차에도 PC에 설치되는 최종 악성코드 기능에 ARP 스푸핑을 통한 웹페이지 변조 후 <script language=JavaScript src=http://xxx.xxxxxxggas.net//tj.js> </script>를 삽입하는 형태가 발견되었다. 같은 네트워크 PC중 단 한 대만 감염되더라도 같은 네트워크를 쓰고 있는 모든 PC들이 공격자가 변조한 웹 페이지로 접속하는 형태가 나타나므로 ISP 및 기업, 기관에서는 해당 주소에 대한 모니터링 강화가 필요하다.
 
ARP 스푸핑을 이용하는 공격코드 기능은 현재까지는 135, 445 포트를 통해 내부 IP 대역까지 검사하며 정상적으로 다운로드가 될 경우(xxx.xxxxxxmuli.com)122.225.112.xxx에 감염PC의 맥어드레스와 PC이름을 보낸 후 Updateok라는 메시지를 보내어 공격자들은 감염된 PC에 대한 통계 정보를 끊임없이 수집하는 형태를 보이고 있다.
 
9월 4주차 악성코드 공격의 특징을 정리하면 다음과 같다. 
•9월 2주차와 9월 3주차부터 지속적으로 DDoS 악성코드 유포. 악성코드 내부에 KOREA 발견된 점으로 미루어 보아 향후 국내를 대상으로 공격이 이루어질 가능성 농후.
•광고 사이트 해킹 및 국내 유력 사이트들 대상으로(유력 언론사 수십 여 곳, 대형 커뮤니티, 대형 오픈마켓, 파일공유) 악성코드 대규모 유포 시도.
•9월 4주차 중국의 최대 명절인 중추절 연휴(29일~10월 1일)과 국경절 연휴(10월 1일~7일)가 맞물린 결과 악성링크 수치 감소, 전년 동기간 대비해서는 대폭 증가된 수치임. (2011년 연휴시기엔 공격이 전무)
•8월 3주차 대거 관찰된 루트킷, 백도어 유형의 경우 금주 차 활동 계속. 감염된 좀비PC들을 활용한 추가 위험이 발생 할 수 있는 상태.
•APT 형태의 악성코드 유포 계속. 권한 획득, 내부망 스캔, 추가 코드 다운을 위한 다운로더 다수 확인 지속.
•MalwareNet(다단계 유포통로)을 적극 활용한 루트킷 및 백도어의 유포 시도 활성화
•3.4 및 7.7 DDoS 형태와 유사성을 지니는 다운로더 발견 급증
•최초 악성링크 내에 추가적인 연결 링크들을 갖추고 있는 형태 및 다양한 취약성을 공격하는 복합적인 형태의 악성링크 공격 확대 계속. 다단계 유포 형태를 띄고 있으며, 탐지 및 추적에 어려움이 예상됨
•백신에 탐지 되지 않는 다운로더 및 백도어 형태의 악성코드 유포 계속
•게임 계정 이외에 문화상품권 및 게임 머니 거래 사이트에 대한 계정 탈취 형 악성코드 계속
•백신 업데이트 주소 목록을 내장한 악성코드 발견 계속. 향후 추가적 피해 예상됨
•기술분석보고서에 언급된 게임계정 유출 악성코드들은 전체 악성코드의 80% 이상이 이용되고 있어서 현재 공격자들이 주력하는 부분으로 판단. 모두 시스템에서의 백신 프로세스를 중지 시키고 국내.외 거의 모든 게임에 대한 프로세스를 지속적으로 모니터링 하고 있다. 현재 가장 다수를 차지하는 게임계정 탈취형 악성코드들이 변화된 형태를 보이고 있으며 외부 도메인 연결과 업데이트를 통해 다른 형태로 전환이 계속.
 
전 이사는 “빛스캔의 PCDS에 탐지 및 분석되는 정보들은 현재 최초의 악성링크, 악성링크의 구조정보, 최종 악성파일 보관, 악성파일 변화 관찰, 봇넷 구축을 위해 감염 이후 연결 시도하는 C&C 서버의 정보들이 수집 및 축적되고 있다”고 밝혔다.
 
보고서 정식 구독서비스 가입 및 시범서비스 신청은 info@bitscan.co.kr로 하면 된다. 기관명/ 담당자/ 연락처를 적어서 보내면 된다.
 
악성링크 자체 수집은 빛스캔 PCDS(Pre crime detect system)를 통해 수집하며 악성링크 및 악성코드분석은 KAIST 정보보호대학원과 공동으로 진행중이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com