대규모 홈페이지 변조사례 및 보안대책

KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
악성 Bot 명령/제어 서버 사고
분석보고서
2005. 4. 1
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다.
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
목 차
1. 개요 ………………………………………………………………… 1
2. 피해 시스템 및 악성 Botnet 명령/제어 서버 정보 ………… 1
3. 악성 Botnet 명령/제어 서버 시스템 피해 분석 ……………… 2
4. 결 론 ……………………………………………………………… 14
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 1 -
1. 개 요
o 악성 Botnet 명령/제어 서버 탐지를 하던 중 솔루션 개발업체인 국내 중소기업
IP가 악성 Botnet 명령/제어 서버로 사용되는 것을 확인하여 3월 23일 현장
조사를 실시함
o 분석 결과 해당 Botnet 명령/제어 서버는 현재까지 수차례의 공격을 받았으나
조치가 이루어지지 않고 있어 시스템 상태가 상당히 불안정하였음
o 사고 당시 해당 시스템은 여러 차례 해킹을 당하였으며 Botnet 명령/제어
서버 용도 뿐만아니라 불법프로그램 유포를 목적으로 FTP 데몬이 설치 운영
되기도 하였음
2. 피해 시스템 및 악성 Botnet 명령/제어 서버 정보
o 운영체제 : Windows 2000 Pro +SP4
o 용도 : 개발용
o Botnet 크기
- 최대 : 4,150 , 분석 당시 : 600 여개
o 사용포트 : TCP/2231, TCP/9136
o DNS RR
- xxxxxx.mybpip.net
- irc.xxxxxxxxxxxx.com
- nex2.xxxxxxxxxxxxxx.com
※ 해당 IP는 현장 분석 후 Botnet 운영자에 의하여 다른 IP로 Update 되
었음
o 명령/제어 서버 프로그램 : Unreal IRCD
o 해당 시스템의 경우 약 3개월 전에 해킹을 당하였으며, 불법 소프트웨어 유포
및 기타 목적으로도 사용됨
o 침입자는 해당 시스템에 RAT 및 Rootkit을 설치 운영중
o 침입 예상 경로는 비밀번호 유추 또는 SQL 서버 취약점으로 추정
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 2 -
3. 악성 Botnet 명령/제어 서버 시스템 피해 분석
o 악성 Botnet 명령/제어 서버 분석
- Botnet 명령/제어 서버의 TCP/2231, TCP/9136 의 포트 연결 상태는 다음과
같으며 분석 당시 약 600 여개의 Bot 감염 시스템들이 연결되어 있었다.
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 3 -
- fport를 이용하여 살펴본 각 포트를 사용하는 프로세스 리스트 정보는 다음
과 같다.
※ Botnet IRCD, 불법프로그램 FTPD, RAT 등
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 4 -
- Bot 유포자는 해당 Botnet 명령/제어 서버가 시스템 부팅 시 마다 자동 시작
되도록 서비스로 등록해 두었다.
- 침입자는 Botnet IRCD 서버 프로그램을 서비스 등록시키기 위하여 start.bat
파일을 사용하였으며 내용은 다음과 같다.
- 서버로 사용되는 프로그램 정보는 다음과 같이 Visual C++로 작성되었으며
실행 압축되지는 않았다.
※ 해당 IRCD는 Botnet에서 일반적으로 가장 많이 사용되는 IRCD 이다.
- IRCD 서버의 설정 파일인 unrealircd.conf 파일을 살펴보면 클라이언트 와의 연
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 5 -
결을 위해 TCP/9136 포트와 TCP/2231 포트 외에도 TCP/1435, TCP/1436을
사용하는 것을 확인할 수 있다.
- 또한 130.111.153.55 시스템과 Botnet 서버 연결을 하기 위하여, 사용되는 포
트는 TCP/9999임을 확인할 수 있으나 분석 당시에는 서버간 연결을 맺고
있지는 않았다.
- 서버가 설치된 경로는 C:WINNTsystem32driversetc 디렉토리이며
관련된 파일은 다음과 같다.
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 6 -
- 해당 파일의 생성 시간을 통해 악성 Botnet 명령/제어 서버가 설치된 시각이
1월 12일 수요일 오후 2시경인 것으로 추정할 수 있다. 즉 분석 당시(3월 23
일) 까지 약 2달여 동안 방치된 채 운영되어 온 것이다.
o 백도어 설치
- Bot 유포자는 해당 시스템을 공격 한 후 추후의 용이한 접근을 위해 백도어를 설
치하였다. 이번 사고의 경우 Bot 유포자가 백도어로 사용한 프로그램은
Remote Administrator Service 이다.
※ radmin 은 가장 광범위하게 사용되고 있는 Backdoor 프로그램중 하나이다.
※ 백도어 프로그램 파일명은 ‘msdos.exe'로 정상 프로그램인 것처럼 보여지
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 7 -
도록 명명하였다.
- 백도어 프로그램이 사용하는 포트는 TCP/5555 이며 실제 RAdmin 클라
이언트를 통해 접속이 이루어지는 것을 확인할 수 있다.
o Warez 서버(Slimftpd) 설치
- 본 피해 시스템은 악성 Bot 명령/제어 서버 이외에 그 이전부터 여러 가지
용도로 악용되어 온 것으로 보인다.
- 침입자가 해당 시스템에 불법 프로그램 유포를 위한 Warez 서버 ftp 프로
그램을 운영하기 위하여 설치한 프로그램은 Slimftpd 이며 시스템 시작 시
마다 실행되도록 다음과 같이 서비스로 등록되어 실행 중이었다.
- 다음은 서비스로 등록하기 위한 start1.bat 파일 내용이다.
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 8 -
- C:WINNTsystem32Microsoft에 숨김 속성의 Crypto 디렉토리 안에 관련
파일들이 생성되었다.
- 해당 디렉토리내 관련 파일의 생성 시간을 통해 Slimftpd를 생성한 시간은
2004년 9월 6일 경으로 추정할 수 있으나, 시스템에 정확히 설치된 날짜는
추측이 힘들다.
- 이러한 파일들의 생성 내용은 다음과 같은 new.bat 배치파일에서 확인할
수 있다. new.bat 파일은 Crypto 디렉토리와 관련 파일을 생성하는데 사용
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 9 -
된 것을 알 수 있다.
- 또한 mybot.gif 파일이 그림파일인 것처럼 명명되어 공격자에 대한 정보가
설정되어 있는 것을 확인할 수 있다.
※ Bot 마스터의 nick 명, 관련 파일과 채널명, queue 사이즈 등이 명시되어
있으며 자신만이 접속할 수 있도록 adminhost와 uploadhost 등이 설정
되어 있는 것을 확인할 수 있다.
- Warez 서버 Slimftpd 프로그램의 설정 파일인 slimftpd.conf 파일에서 사용
포트(TCP/14562) 및 ftp 서버 사용자에 대한 디렉토리 등이 설정되어 있다.
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 10 -
- 실제 분석 당시에도 관련 포트는 여전히 오픈되어 있는 것을 볼 수 있다
- prep.bat 파일에는 관련 프로그램 설치 이전에 시스템에 Anti-virus, 모니터
링 프로그램 등으로부터 탐지되는 것을 막기 위해 관련 프로세스들을 중지
하고 kill 을 하도록 되어 있다.
- 특히 이번 사고의 경우에는 국내 백신 제품인 V3, Virobot, Virus Chaser
등을 제거하는 부분도 포함되어 있다
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 11 -
- 그러나 다음과 같이 피해 시스템의 사양은 Warez 서버로 이용되기에는 네
트워크 속도, Disk 용량 등의 부족으로 업로드 디렉토리와 로그파일이 비어
있는 등 활용되지는 못한 것으로 추정된다.
< CPU 사양 >
x86 Family 6 Model 8 Stepping 6: 797 MHz
< 하드 사양 >
Drive: [FileSys] [ Size ] [ Free ] [ Used ]
C$ NTFS 6150 701 5449
< 메모리 사양 >
RAM (Total): 257
o Warez 서버(Serv-U Ftp) 설치
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 12 -
- 본 시스템은 Slimftpd 뿐만 아니라 Serv-U ftpd v.3.1와 같은 불법 프로그램
유포를 위한 Warez 서버도 설치되는 등 여러 차례 공격 받은 것으로 보인다.
- C:WINNTsystem32MicrosoftProtect 내의 Secure 디렉토리 안에 관련
파일들이 생성되었으며 해당 디렉토리내 관련 파일의 생성 시간을 통해
Serv-U ftpd를 생성한 시간은 2004년 11월 4일 경으로 추정할 수 있다
- 침입자는 대부분의 악성 프로그램이 그렇듯이 시스템 시작 시 마다 실행되
도록 다음과 같이 서비스로 등록되어 실행 중이었다.
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 13 -
- 서비스 등록 파일 및 설정 파일등을 통해 Serv-U FTP가 사용하는 포트 및
관련 정보등을 파악할 수 있었으며 분석 당시에도 TCP/43958 포트가 오픈
되어 해당 프로그램이 서비스 중이었다.
- 또한 Slimftpd와 같이 피해 시스템 사양의 역부족으로 업로드 디렉토리에는
약 3MB 파일만이 생성되어 있는 등 공격자의 의도대로 활용되지는 못한
것으로 보인다.
o Rootkit 설치
- 침입자는 자신이 수행하는 행동을 관리자에게 탐지되지 않도록 하기 위해
rootkit을 설치하여 시스템 정보가 제대로 보이지 않도록 설정해두었다.
- 다음과 같이 C:WINNTsystem32MicrosoftProtect 디렉토리 안에는
‘S-1-5-18' 디렉토리만 존재하는 것처럼 보인다.
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 14 -
- 그러나 실제 Protect 디렉토리에는 다음과 같이 Secure 라는 디렉토리가 존
재하는 것을 볼 수 있고 이는 디렉토리명을 정확히 아는 경우에만 접근할
수 있다.
※ 따라서 관리자에 의해 시스템을 분석 하는 경우 정확한 디렉토리명을 알
지 못하는 한 디렉토리를 볼 수 없으므로 분석을 어렵게 한다.
4. 결론
o 국내 중소기업 업체들의 상당 수 시스템들이 보안에 취약한 것으로 파악되고
있듯이 본 사고 역시 솔루션 개발 업체인 중소기업에서 발생하였다.
o 이번 악성 Botnet 명령/제어 서버의 경우에도 오랜 기간동안 취약한 상태로 유
지되어 Botnet 서버 뿐 아니라 불법 프로그램 유포의 목적으로도 사용되는 등
수차례의 공격을 당해왔으나 탐지 및 조치가 이루어지지 않고 있었다. 따라서
관리자의 시스템에 대한 주기적인 모니터링 및 패치 등을 통한 관리가 필수적
KrCERT-IN-2005-04 http://www.krcert.or.kr
악성 Bot 명령/제어 서버 사고 분석 보고서 cert@certcc.or.kr
___________________________________________________________________________________________
- 15 -
으로 선행되어야 한다.
o 악성 Bot 유포자는 현장 분석 후 짧은 시간에 다른 서버 IP로 업데이트 하였
으며 따라서 또 다른 곳에서 악의적 행위를 계속하고 있을 것이다. 이러한
악성 Bot의 위험성에 대한 홍보 및 인식 제고를 통하여 국내 악성 Bot 피해를
감소해야 한다.
o 악성 Botnet 명령/제어 서버로 사용되고 있는 경우 대응 방법으로는 악용되
고 있는 프로그램을 찾아 삭제하고 시스템 시작 시 마다 자동으로 실행되기
위해 설정해 놓은 레지스트리나 서비스를 찾아 중지시킨 후 반드시 보안 패
치를 적용해야 한다.
o 특히 최근에 많이 이용되고 있는 취약점은 패스워드, SQL, WINS 취약점으로
국내 시스템 운영자들은 반드시 취약하지 않은 버전으로 패치해야 하며 윈도우
등의 운영체제 시스템 패스워드를 강화하고 SQL과 같은 응용프로그램의 디
폴트 패스워드를 그대로 사용하는 일이 없도록 해야한다