'C&C'에 해당되는 글 3건

  1. 2013.04.09 3.20 사이버테러 내부 침입경로 수수께끼 풀렸다!
  2. 2009.12.21 웹하드 서비스를 통해 생성된 Botnet을 이용한 DDoS 공격 피해사례
  3. 2009.07.29 DDoS 공격 77 인터넷대란 특징
2013. 4. 9. 10:55

3.20 사이버테러 내부 침입경로 수수께끼 풀렸다!

국내 웹 ActiveX 모듈 통해 침입...보안 취약성 여실히 드러내

최초 악성코드와 통신하는 1차 C&C 서버로 공개 웹 게시판 악용


[보안뉴스 특별취재팀] 3.20 전산망 사이버테러의 공격주체와 공격수법이 드러나면서 그간 수수께끼로 남아있던 내부 침입경로에 대한 의문점도 풀렸다.


그간에는 백신 업체가 피해기업에 제공한 백신 중앙관리 솔루션의 취약점을 통해 악성코드가 내부 직원 PC로 한꺼번에 유포됐다는 내부 유포경로만 밝혀졌을 뿐 악성코드가 어떤 방법으로 피해기업 내부에 침투했는지는 여전히 풀지 못한 숙제로 남아있었다. 



▲ 작전명 ‘Operation 1Mission’으로 명명된 3.20 전산망 사이버테러의 공격개요 및 흐름도
*이미지를 클릭하시면 더욱 상세한 버전의 그림을 볼 수 있습니다.


그러나 악성코드 전문 추적그룹인 ‘이슈메이커스랩’의 분석결과를 본지가 확인한 결과 이번에 드러난 해커조직이 피해기업의 내부 직원 PC를 감염시키는 데는 국내 특정 소프트웨어의 웹 ActiveX 모듈의 업데이트 기능을 이용해 업데이트 파일 경로를 변조시키는 방법 등을 활용했던 것으로 밝혀졌다.


일반적으로 국내에 유포되는 악성코드들은 MS의 인터넷 익스플로러, 어도비 플래시, 오라클 자바 등 주로 해외 소프트웨어의 취약점을 이용해 유포하는 것이 대부분이다. 그러나 해당조직은 오래 전부터 보안 소프트웨어를 포함해 국내의 소프트웨어를 상세히 연구·분석해 취약점을 찾아내고, 이를 악성코드 유포에 활용했던 것으로 조사됐다. 


특히, 피해기관 내부에 최초로 침투하기 위해서 주로 웹사이트 방문만으로 악성코드를 감염시킬 수 있는 ActiveX 취약점 등을 사용했다. 해당 취약점은 ActiveX의 모듈 업데이트 기능을 이용해 업데이트 파일경로를 해커가 올려놓은 악성코드 파일의 경로로 변조해 특정 웹사이트 방문시 정상파일이 아닌 악성코드 파일이 설치되도록 한 것이다. 


이후 내부 PC에서 여러 다른 PC들에게 전파하기 위해 일반 PC들에 설치된 에이전트들을 제어 및 관리하는 중앙관리 솔루션의 취약점을 이용했다. PC내 설치된 에이전트들을 업데이트하는 파일을 변조해 모든 에이전트에 악성코드를 설치하는 방법을 활용했던 것이다.


결국 해커조직은 최대한 많은 내부 직원 PC를 악성코드에 감염시켜 하드디스크를 파괴하기 위해 내부 모든 PC의 백신 업데이트 등을 제어·관리하는 중앙관리 솔루션의 취약점을 악용했던 셈이다. 

  

더욱이 악성코드에 감염된 피해기업의 내부 PC와 통신하며 명령을 내리는 역할을 한 1차 C&C(명령제어) 서버의 경우 제로보드, 그누보드, 알지보드, K보드 등의 국내 공개 웹 게시판의 취약점을 악용했던 것으로 드러났다. 


이렇듯 방송국과 금융권의 내부 PC로 악성코드가 침입된 경로가 국내 소프트웨어의 ActiveX 모듈로 드러나면서 ActiveX 모듈의 취약한 보안성 문제로 확대될 것으로 보인다. 또한, 1차 C&C 서버로 국내 공개 웹 게시판이 악용된 것으로 드러나 공개 웹게시판의 허술한 보안이 또 다시 도마 위에 오를 것으로 예상된다. 

이와 관련 이슈메이커스랩의 리더 Simon Choi 씨는 “이번 전산망 테러를 일으킨 해커조직은 이번 사건뿐만 아니라 오래 전부터 주로 국내 소프트웨어의 취약점을 속속들이 분석해 이를 악성코드 유포경로로 활용하고 있어 국내를 타깃으로 하는 최적화된 작전을 수행하고 있다”며, “이렇듯 실제 우리나라에서 사이버전을 수행하고 있는 해당조직이 있는 만큼 이들을 꾸준히 추적 및 관리할 수 있는 전문가들의 필요성이 높아지고 있으며, 그 역할을 수행하는 데 있어 이슈메이커스랩이 앞장설 것”이라고 말했다. 

[보안뉴스 특별취재팀(editor@boannews.com)]


출처 : 보안뉴스


Trackback 0 Comment 0
2009. 12. 21. 18:14

웹하드 서비스를 통해 생성된 Botnet을 이용한 DDoS 공격 피해사례


웹하드 서비스를 통해 생성된 Botnet을 이용한 DDoS 공격 피해사례
KrCERT/CC 인터넷 침해 대응 센터


Trackback 0 Comment 0
2009. 7. 29. 22:10

DDoS 공격 77 인터넷대란 특징


이번 DDos 공격 특징은 ?

7일 저녁 청와대와 국회 등 주요 정부기관사이트와 일부 포털 등 국내 11개 사이트를 공격해 접속장애를 일으킨 분산서비스거부(DDoS) 공격에 관심이 모아지고 있다.

DDoS는 엄청난 양의 데이터를 특정 서버에 한꺼번에 보내 부하가 걸리도록 해 서비스를 못하게 하는 일종의 해킹 방식이다.

정보시스템의 데이터나 자원을 정당한 사용자가 적절한 대기 시간 내에 사용하는 것을 방해하는 행위로 주로 시스템에 과도한 부하를 일으켜 정보 시스템의 사용을 방해한다.

DDoS는 표적이 된 사이트에 계속 접속할 수 있는 바이러스성 프로그램을 유포시켜 이 프로그램에 감염된 PC, 이른바 좀비PC는 표적 사이트에 반복적으로 접속하게 된다.이번 DDoS 공격은 25개 사이트를 공격하도록 설계된 악성코드가 각 개인의 PC에심어진 뒤 공격이 시작된 것으로 파악됐다. 공격 리스트가 처음부터 설정됐던 것이다.

25개 사이트중 국내 것은 청와대, 국회, 국방부, 한나라당, 조선일보, 외교통상부, 옥션, 농협, 신한은행, 외환은행, 네이버 등 11개이고 그외 나머지는 백악관 등해외 사이트이다.

중간 명령제어 서버가 좀비PC에 특정 사이트에 대한 공격 명령을 내린 뒤 이뤄지는 일반적인 DDoS 공격 방식과는 다르다.

한국정보보호진흥원(KISA) 관계자는 "애초 특정 사이트에 대한 공격 명령이 악성코드에 심어진 경우는 이번이 처음"이라고 말했다.

정부 주요 기관의 경우 DDoS 공격에 대한 방어 장비를 갖추고 있지만, 이번 공격에서는 효율적으로 대처하지 못한 것으로 보인다.

한 보안 전문가는 "방어장비가 있더라도 공격을 쉽사리 막기는 어렵다"면서 "장비도 중요하지만 운영자가 효율적으로 공격을 분산시켜 방어하는 것도 필요하다"고 말했다.

DDoS 공격으로 인터넷 서비스에 장애가 발생하면 이를 복구하는 것도 쉽지 않다. 각 PC에 심어진 악성코드가 치료되기 전까지는 공격이 계속될 수 있기 때문이다.

특히 이번 공격의 경우 좀비PC가 1만대 정도로 추정되는데, 각 개인이 PC를 치료하기 전까지는 통신사업자가 IP가 파악된 좀비PC의 인터넷접속을 차단하는 방법밖에는 공격을 원천적으로 제거할 수 없다.

한편 DDoS는 2000년 2월 아마존, 이베이, 야후 등 전자상거래 관련 사이트들이 DDoS(Distributed Denial of Service)의 공격을 받아 운영할 수 없는 사건이 발생하면서 일반인들에게 알려지기 시작했다.

2001년 7월에는 윈도2000과 윈도NT 서버를 경유해 미국 백악관의 사이트를 분산서비스거부(DDoS) 공격 방법으로 마비시키는 웜바이러스 `코드레드'의 변종인 `코드레드Ⅱ가 등장해 전 세계를 긴장시키기도 했다.

코드레드 바이러스는 발견된 지 보름 만에 전 세계적으로 30만대의 시스템을 감염시켰으며 원형과 변종 코드레드의 피해를 본 국내 시스템도 최소 3만여대에 이르렀다.

2003년 1월에는 DDoS가 KT 전화국 DNS 서버를 공격해 공격 2시간 만에 일부 전화국 서버 접속 성공률을 10%로 하락시킨 뒤 하나로통신, 두루넷 등 다른 인터넷 서비스 공급자(ISP)들과 SK텔레콤, KTF, LG텔레콤 등 무선인터넷 사업자들의 망에도 트래픽 증가를 유발시켜 사실상 인터넷 대란이 발생했었다.

2007년 2월에는 전 세계 13개 루트 DNS서버가 해커들의 DDoS 공격을 받았는데 국내 PC가 주요 공격 경유지로 파악돼 눈길을 끌기도 했다.

불붙는 글로벌 사이버 전쟁

한국과 미국의 주요 기관 홈페이지가 7일 저녁 해커들로부터 동시에 공격을 받아 한동안 다운되거나 접속장애 사태가 벌어짐에 따라 글로벌 사이버 전쟁에 대한 관심이 높아지고 있다.

8일 방송통신위와 인터넷업계 등에 따르면 제2차 세계대전 이후 현실세계에서 대규모 물리적 충돌이 발생하지 않은 지 60년이 넘었지만, 눈에 보이지 않는 사이버세계에서는 `사이버 세작(細作.스파이)'들과 이를 막으려는 주요국 정부가 발달된 정보기술(IT)을 무기로 치열한 전쟁을 벌이고 있다.

이때문에 전 세계 어디에서든 해킹이란 사이버 공격에 안전지대는 더 이상 없다는 것이 중론이다. 최첨단 보안시스템의 대명사인 미 펜타곤은 이미 '해커들의 놀이터'가 됐다는 평이 나올 정도다. 워싱턴포스트(WP)에 따르면 2008년 미 정부 컴퓨터망에 대한 해킹 등 사이버 공격은 5천488건으로 2007년에 비해 40%나 증가했다.

요즘은 개별 해커가 아니라 세계 패권을 놓고 미국과 경쟁 중인 중국이 해킹의 배후로 등장하는 일도 잦아졌다.
파이낸셜타임스(FT) 등에 따르면 지난해 대선을 앞두고 버락 오바마와 존 매케인 선거캠프의 컴퓨터가 유세 기간에 중국인으로 추정되는 해커들에 의해 뚫렸다. 최근에는 백악관 이메일 시스템도 해킹을 당했는데 배후로 중국이 의심되고 있다.

그러나 중국 역시 해킹 안전지대는 아니다. 홍콩의 사우스차이나 모닝포스트는 최근 "대만 출신으로 추정되는 해커들이 원자바오 중국 총리가 작성한 '2009년도 정부 업무 보고서' 초안을 복제해 갔다"고 보도했다. 물밑에서 서방세계의 중국에 대한 역공도 거세게 이뤄지는 것이다.

실생활과 밀접한 사이버 해킹도 곳곳에서 발견되고 있다. 중국의 한 해킹 사이트에는 "한국 계좌 빌려드립니다","주민번호 대량 판매" 등의 제목을 단 글에 개인정보에 대한 구체적인 판매금액이 명시돼 있을 뿐만 아니라 "해킹 가능한 분 고수익보장합니다"며 청부해커를 고용한다는 게시물까지 올라와 있을 지경이다.

인터넷 보안 전문가들은 몇 해 전부터 개인정보를 빼내기 위한 악성코드(바이러스, 웜, 트로이목마 등 컴퓨터에 잠입하는 불법 프로그램) 유포가 급증하고 있다고 입을 모으고 있다.

은행계좌, 신용카드 정보 등 개인정보를 사이버 블랙마켓(암시장)에서 팔면 돈이 되기 때문이다. 이코노미스트지는 최근 "서비스로서의 크라임 웨어(범죄 소프트웨어)가 늘어나고 있다"며 사이버 블랙마켓에 대해 보도했다. 원하기만 하면 해킹 서비스를 언제나 인터넷에서 돈을 주고 살 수 있다는 내용이다.

이처럼 신종 해킹이 갈수록 지능화되면서 대응방법에도 비상이 걸리고 있다.

특히 계속되는 해킹으로 인한 웹사이트 변조와 악성코드 유포 위협에 대한 지적에도 불구하고 `SQL 인젝션(injection)' 등 각종 해킹 공격으로 인한 피해가 여전히심각한 수준이다. 더욱이 각종 해킹 공격 프로그램들이 해외에서 판매되고 있어 정부도 뚜렷한 해결책을 찾지 못하고 있는 상태다.

한국정보보호진흥원(KISA, 원장 황중연)은 최근 중국 해커들이 약 10만 건의 SQL 인젝션 공격을 시도했으며, 공격대상 중 한국 내 사이트가 5%를 차지했다고 밝혔다. SQL 인젝션 공격은 웹페이지의 로그인 창 등에 SQL(DB를 관리하기 위한 질의어)구문을 넣어 정당한 사용자로 속여 DB(데이터베이스)의 정보를 빼내는 해킹 수법이다.

이와 관련, 전문가들은 보안 프로세스를 빠르고 효율적으로 전환해 웹사이트들의 전반적인 보안수준을 높여야 한다고 지적했다.

업계 관계자는 "현재의 인터넷 트래픽 모니터링 방식은 한계가 있으며, 정보보호도 소방점검을 하듯이 점검기준을 만들어 점검해야 한다"며 "해킹과 악성코드를 적발, 판정해 해당 사이트 관리자에게 통보하고 조치를 취하는 절차가 더 빠르게 처리되게 해야 한다"고 말했다.

(서울=연합뉴스) 조성흠 기자  윤종석 기자 이광빈 김세영 기자


Trackback 0 Comment 0