분석 정보/악성코드 분석 정보

2011년 3월 3일 국내 주요 웹 사이트 DDoS 공격 발생

TACHYON & ISARC 2011. 3. 6. 15:40

2011년 03월 03일경 부터 국내 주요 웹 사이트를 대상으로 한 분산 서비스 거부(DDoS:Distributed Denial of Service) 공격이 발생하고 있어 잉카인터넷(시큐리티대응센터/대응팀)에서는 "긴급 경보"를 발령 한 상태이다.


잉카인터넷 대응팀은 03월 03일부터 비상근무체제를 유지하고 있으며, nProtect Anti-Virus 제품에 악성파일 치료기능을 2011년 03월 03일자부터 긴급으로 업데이트하여 제공 중에 있다. 특히, 해당 악성파일들이 국내 주요 Anti-Virus 제품의 업데이트를 방해하고 있기 때문에 전용백신을 사용하거나 nProtect Anti-Virus 제품의 최신 업데이트 패턴을 이용하면 좀더 완벽한 치료가 가능하다.
  

[무료 전용백신 v9]3.3 DDoS 악성파일 * HDD 파괴악성파일 치료 기능 포함
http://avs.nprotect.net/FreeAV/nProtectEAVDllbot.com

[HDD 파괴 피해 예방 안내]3.3 DDoS 악성파일 하드디스크 파괴시작 긴급 예방 조치법
http://erteam.nprotect.com/133

3.3 DDoS 악성파일 분석 보고서 (내용 계속 업데이트 중) 

[2011.03.09]_DDoS_분석_보고서_V8.0.pdf

 
  

참고로 호스트 파일을 변조해 Anti-Virus 제품의 정상적인 엔진/패턴 업데이트를 방해하는 주소는 다음과 같다.


이번에 발견된 악성파일들 중 일부는 사용자 컴퓨터내에 존재하는 중요 문서 파일 등을 암호화 압축(손상)하여 사용자가 정상적으로 사용하지 못하게 하는 피해 증상과 특정 조건에 따라 하드 디스크(HDD)를 파괴하는 기능(조건:설치된 시간+7일), 사용자 PC 정보 유출 등을 수행하는 것으로 파악되고 있으며, 현재 일반 사용자로 부터 문서 파일이 손상된 피해 사례가 아래와 같이 신고 접수된 상태이다.


잉카인터넷(http://www.nprotect.com) 시큐리티대응센터(대응팀)는 긴급 보안 공지와 함께 전사 비상 대응 체제를 가동하고 있으며, 아직까지 대규모 공격 수준은 아니지만, 스케줄링되어 있는 순차적 공격을 대비하여 인터넷 상황을 예의 주시 중에 있다.


이번 DDoS 공격 기능을 보유한 악성파일은 국내 특정 웹 하드 업체에서 유포되었기 때문에 수 많은 이용자의 컴퓨터가 Zombie PC 역할을 수행하고 있을 것으로 예상되며, 2009년 07월 07일부터 09일까지 국내 주요 17개 웹 사이트를 공격했던 7.7 DDoS 공격의 변형된 방식으로 동일한 공격자의 소행으로 추정된다.

지금까지 파악된 공격 대상 웹 사이트는 다음과 같고, 변형된 파일이나 추가 변종 공격에 따라서 웹 페이지가 변경될 수 있다.

http://www.naver.com/  [네이버]
http://www.daum.net/  [다음]
http://www.auction.co.kr/ [옥션]
http://www.hangame.com/  [한게임]
http://www.dcinside.com/  [디시인사이드]
http://www.gmarket.co.kr/ [G마켓]
http://www.cwd.go.kr/  [청와대]
http://www.mofat.go.kr/  [외교통상부]
http://www.nis.go.kr/  [국가정보원]
http://www.unikorea.go.kr/ [통일부]
http://www.assembly.go.kr/ [대한민국 국회]
http://www.korea.go.kr/  [국가대표포털]
http://www.dapa.go.kr/  [방위사업청]
http://www.police.go.kr/  [사이버경찰청]
http://www.nts.go.kr/  [국세청]
http://www.customs.go.kr/ [관세청]
http://www.mnd.mil.kr/  [국방부]
http://www.jcs.mil.kr/  [합동참모본부]
http://www.army.mil.kr/  [육군]
http://www.airforce.mil.kr/ [공군]
http://www.navy.mil.kr/  [해군]
http://www.usfk.mil/  [주한미군]
http://www.dema.mil.kr/  [국방홍보원]
http://www.kunsan.af.mil/ [주한미공군]
http://www.kcc.go.kr/  [방송통신위원회]
http://www.mopas.go.kr/  [행정안전부]
http://www.kisa.or.kr/  [한국인터넷진흥원]
http://www.ahnlab.com/  [안철수연구소]
http://www.fsc.go.kr/  [금융위원회]
http://www.kbstar.com/  [국민은행]
http://www.wooribank.com/ [우리은행]
http://www.hanabank.com/  [하나은행]
http://www.keb.co.kr/  [외환은행]
http://www.shinhan.com/  [신한은행]
http://www.jeilbank.co.kr/ [제일저축은행]
http://www.nonghyup.com/  [농협]
http://www.kiwoom.com/  [키움증권]
http://www.daishin.co.kr/ [대신증권]
http://www.korail.com/  [한국철도공사]
http://www.khnp.co.kr/  [한국수력원자력]

DDoS 공격에 사용된 악성파일들은 다음과 같고, 계속해서 변종이 수집되고 있다.


설치되는 일부 dll 파일들은 조작된 것으로 보여지는 디지털 서명을 사용하고 있기도 하다.

[클릭하면 전체 화면을 볼 수 있음]


잉카인터넷에서 긴급 업데이트된 악성파일의 대응 이력은 다음과 같고, 변종 발견에 따라 계속 추가될 수 있다.

2011년 03월 03일 02번째 긴급 업데이트 (23시 20분경 완료)
Trojan/W32.Dllbot.40960
Trojan/W32.Dllbot.46432
Trojan/W32.Dllbot.71008

2011년 03월 04일 01번째 긴급 업데이트 (01시 00경 완료)
Trojan/W32.Agent.10240.OO
Trojan/W32.Agent.11776.OF

2011년 03월 04일 02번째 긴급 업데이트 (11시 00분경 완료)
Trojan/W32.Agent.118784.ACE
Trojan/W32.Agent.131072.YG

2011년 03월 04일 03번째 긴급 업데이트 (11시 30분경 완료)
Trojan/W32.Agent.20480.AZR
Trojan/W32.Agent.11776.OG
Trojan/W32.Agent.16384.ALF

2011년 03월 04일 04번째 긴급 업데이트 (17시 15분경 완료)
Trojan/W32.Agent.126976.XY
Trojan/W32.Agent.16384.ALF

2011년 03월 04일 05번째 긴급 업데이트 (18시 30분경 완료)
Trojan/W32.Agent.42320
Trojan/W32.Agent.46416.B

2011년 03월 04일 06번째 긴급 업데이트 (22시 20분경 완료)
Trojan/W32.Agent.24576.BGE
Trojan/W32.Agent.10752.PI

2011년 03월 05일 02번째 긴급 업데이트 (12시 30분경 완료)
Trojan/W32.Agent.77824.AMN
Trojan/W32.Agent.71000.B
Trojan/W32.Agent.13312.MD
Trojan/W32.Agent.36864.BZN

2011년 03월 05일 03번째 긴급 업데이트 (13시 15분경 완료)
Trojan/W32.Agent.27648.OV

2011년 03월 06일 01번째 긴급 업데이트 (14시 30분경 완료)
Trojan/W32.Agent.16384.ALI
Trojan/W32.Agent.16384.ALJ
Trojan/W32.Agent.24576.BGF
Trojan/W32.Agent.57948.C

2011년 03월 07일 04번째 긴급 업데이트 (20시 45분경 완료)
Trojan/W32.Agent.24576.BGG
Trojan/W32.Agent.56167

2011년 03월 09일 02번째 긴급 업데이트 (21시 53분경 완료)
Trojan/W32.Agent.42488.B
Trojan/W32.Agent.45056.AUY
Trojan/W32.Agent.57344.BDK

2011년 03월 10일 02번째 긴급 업데이트 (09시 00분경 완료)
Trojan/W32.Agent.229376.ML
Trojan/W32.Agent.245760.IX
  

[nProtect Anti-Virus/Spyware 2007 알고 사용하자!]

http://erteam.nprotect.com/16
  


2011년 3월 4일 오후 06시 30분을 기점으로 2차 DDoS 공격이 이루어졌지만 대규모 공격은 발생하지 않아 아직까지 특별한 피해사례는 보고되지 않고있다.

또한, 기존에 예상되었던 시점보다 앞당겨져 하드디스크 손상을 초래하는 기능 동작이 2011년 3월 6일 보고되었으며, C&C 서버로 부터 감염된 PC에 해당 명령이 전달되어 동작이 진행중인 것으로 현재 추정되고 있다. 이는 현재까지 3.3 DDoS 공격으로 인해 뚜렷한 피해가 발생하지 않자 추가적인 피해 발생을 위해 진행된 것으로 추정되고 있으며, 현재 해당 건과 관련하여 긴급 업데이트가 완료되었으니 최신 엔진 및 패턴 버전으로 업데이트가 필요하다.

잉카인터넷(시큐리티대응센터/대응팀)에서는 이번 3.3 DDoS 공격과 관련하여 다양한 보안 위협에 대응하기 위해 24시간 지속적인 비상 대응체계를 유지하고 있으며, 관련 내용에 대해 계속해서 정보를 제공할 예정이다.