2011년 3.4 DDoS Attack 내용

▷ 3.4 DDoS 일시

- 2011년 3월 3일 오전 7시경 국내 포털 사이트 및 금융기관, 국가 기관등 공격 징후가 발생, 보고 되었다. 정부 및 KISA, 각 백신 및 보안업체들은 샘플 수집 시작 및 대응(전용 백신배포)하기 시작 하였다.

 

▷ 3.4 DDoS 특징

- 최초 악성코드 유포지는 쉐어박스를 비롯한 보보박스, 파일시티, 슈터파운 등 국내 웹 하드업체의 파일들을 해킹 하여 유포되었다. 또한 공격을 수행하는 악성코드는 배포시기에 따라 크게 2가지로 분류된다.

 

3월 2일 ~ 3월 4일 동안 배포된 것으로 추정되는 악성코드는 좀비 PC로 감염시켜 C&C서버와 통신하며, DDoS 공격, 백신업데이트 방해, HDD파괴등을 한번에 수행하고 있었다.

3월 4일 오후부터 배포 된 것으로 추정되는 악성코드는 C&C서버와의 통신과 DDoS 공격만을 수행하며, C&C 서버에서 업데이트를 통해 백신업데이트를 방해하고, HDD 파괴 동작을 수행 한다.

 

악성코드는 각각 동작을 위해 분리된 dll 파일로 구성되어 있으며, 동작을 수행하기 위한 dat 파일을 별도로 가지고 있다.

또한 분류에 따라 dat파일의 이름이 달라지고 있었다.

 

▷ 3.4 DDoS 공격 대상

1차 공격 (29곳) - 3월 3일(목요일) 오후 5시경

청와대, 외교통상부, 통일부, 국회, 전자정부, 방위사업청, 사이버경찰청, 국세청, 국방부, 합동참모본부, 육군, 공군, 해군, 주한미군, 행안부, 한국인터넷진흥원, 금융위원회, 국민은행, 외환은행, 신한은행, 농협, 키움증권, 대신증원, G마켓, 안철수연구소, 한게임, 네이버, 다음

 

2차 공격 (40곳) - 3월 4일 오전 10시경

네이버, 다음, 옥션, 한게임, 디씨인사이드, G마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 제8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력

 

▷ 3.4 DDoS 악성코드 유포

-  사진 출처 : 이스트소프트 / 보안뉴스

 

초기 유포는 악성코드를 다운로드하는 드롭퍼를 먼저 유포시키고 DDoS 공격후에 HDD를 파괴하는 행위는 지난 2009년에 발생한 7.7 DDos 공격과 유사했다.

그러나 국내 백신들의 업데이트 문제가 발생하는 등 이상 현상이 발생하여 이번 공격을 미리 감지 할 수 있었다. 악성코드는 Host 파일을 변조해 백신의 정상적인 업데이트를 방해했다. 이것으로 이번 공격을 미연에 파악하는 계기가 되었다.

 

사전에 악성코드 유포를 확인해 전용백신을 배포가 이루어지는 등의 대처로 DDoS 공격이 실패하자 공격자는 악성코드가 감염되고 DDoS공격이 이루어진 후 4~7일 이내에 HDD를 파괴 명령이 프로그램되어 있는 코를 수정하여, DDoS 공격후, 즉시 HDD를 파괴하도록 명령을 프로그램하여 재 배포하는 등 재빠르게 공격자는 대처했다.

 

새로 배포된 악성코드는 DDoS 악성코드 전용백신을 배포한 보호나라 홈페이지로의 접속을 차단하는 기능도 추가되어있었다. 공격자는 국내 상황을 주도면밀하게 모니터링을 하는 공격자의 치밀함을 볼 수 있었다.

 

수정된 악성코드의 재배포 역시 초기 배포와 유사한 웹하드의 클라이언트를 해킹하여 이루어졌다. 이는 초기 악성코드 배포 후에도 웹하드 업체들의 보안관리가 전혀 이루어지지 않았다는것을 확인할 수 있다.

▷ 3.4 DDoS 악성코드 파일 관계도

- 사진 출처 : 안철수 연구소배포 / 보안뉴스

 

안철수연구소에서 분석한 내용을 보면 3월 4일 오후 6시 30분경에 DDoS 공격을 유발하는 악성코드들의 10개 파일들은 각기 유기적으로 작동한다. SBUpdate.exe가 처음 설치된 후 해외의 특정 C&C 서버에 접속하는 동시에 ntcm53.dll, ntds50.dll파일을 생성한다. 이 두 파일은 다시 7개의 파일을 생성해 실행 한다. 생성된 7개의 파일 또한 각기 역할을 다르게 한다.

 

mopxsvc.dll파일은 faultrep.dat은 C&C 서버 주소를 저장하고 있으며, 이 파일을 참조해 C&C서버에 접속해 명령을 받아온다. watcsvc.dll 파일은 DDoS공격 시각 정보를 담은 tlntwye.dat파일과 공격 대상 웹사이트 40개의 정보를 담은 tjoqgv.dat파일을 참조하여 DDoS 공격을 수행한다.

soetsvc.dll파일은 최초 감염 시각을 저장하는 noise03.dat파일을 참조해 HDD 및 파일을 손상시킨다.

 

5일 밤에 해외의 특정 C&C 서버에서 clijproc.dll파일이 새로 다운로드 된다. 이 파일은 다운로드되는 즉시 HDD 및 파일을 손상시킨다. 

 

▷ 디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명 
 ntcm63.dll : Win-Trojan/Agent.131072.WL 
 SBUpdate.exe : Win-Trojan/Agent.11776.VJ 
 ntds50.dll : Win-Trojan/Agent.118784.AAU 
 watcsvc.dll : Win-Trojan/Agent.40960.BOH 
 soetsvc.dll : Win-Trojan/Agent.46432.D 
 mopxsvc.dll : Win-Trojan/Agent.71008 
 SBUpdate.exe : Win-Trojan/Npkon.10240

 

▷ 하우리 제품군 진단명

Bin.S.Agent.112

Bin.S.Agent.112.A

Bin.S.Agent.112.B

Bin.S.Agent.112.C

Bin.S.Agent.12

Bin.S.Agent.12.A

Bin.S.Agent.12.B

Bin.S.Agent.12392

Bin.S.Agent..16

Bin.S.Agent..4674

Bin.S.Agent.616

Bin.S.Agent.616.A

Bin.S.Agent.8

Bin.S.Agent.8.A

Bin.S.Agent.8.B

Bin.S.Agent.8.C

Bin.S.Agent.9080

Trojan.Win32.Agent.10240.DP

Trojan.Win32.Downloader.11776.MH

Trojan.Win32.Downloader.20480.ALQ

Trojan.Win32.Generic.13312.B

Trojan.Win32.Generic.16384.B

Trojan.Win32.Generic.24576.I

Trojan.Win32.Generic.24576.J

Trojan.Win32.Generic.27648

Trojan.Win32.Generic.36864.I

Trojan.Win32.Generic.42320

Trojan.Win32.Generic.57948

Trojan.Win32.Generic.71000

Trojan.Win32.Generic.71008

Trojan.Win32.Generic.77824.L

Trojan.Win32.QHost.131072

Trojan.Win32.QHost.126976

Trojan.Win32.QHost.16384.G

Trojan.Win32.QHost.16384.H

Trojan.Win32.S.Downloader.10240.AF

Trojan.Win32.S.Downloader.11776.Y

Trojan.Win32.S.Generic.46432

Trojan.Win32.S.Generic.71008

Trojan.Win32.S.Obfuscated.40960

Trojan.Win32.S.QHost.118784

3.4 DDoS 좀비PC 확인하기

1. 시스템에서 호스트 파일에 아래와 같은 URL이 등록되어 있는 경우

(특히 "boho", "ahnlab.com", "alyac.co.kr" 문자열 확인)

(시스템 폴더) driveretchosts

127.0.0.1       explicitupdate.alyac.co.kr
127.0.0.1       gms.ahnlab.com
127.0.0.1       ko-kr.albn.altools.com
127.0.0.1       ko-kr.alupdatealyac.altools.com
127.0.0.1       su.ahnlab.com
127.0.0.1       su3.ahnlab.com
127.0.0.1       update.ahnlab.com
127.0.0.1       ahnlab.nefficient.co.kr

127.0.0.1       www.alyac.co.kr
127.0.0.1       www.boho.or.kr
127.0.0.1       download.boho.or.kr
127.0.0.1       www.ahnlab.com
127.0.0.1       explicitupdate.alyac.co.kr
127.0.0.1       gms.ahnlab.com
127.0.0.1       ko-kr.albn.altools.com
127.0.0.1       ko-kr.alupdatealyac.altools.com
127.0.0.1       su.ahnlab.com
127.0.0.1       su3.ahnlab.com
127.0.0.1       update.ahnlab.com
127.0.0.1       ahnlab.nefficient.co.kr

 

2. 다음의 폴더가 만들어져 있는 경우

c:windowsNLDRV111