주요 정부기관 DNS 서버 대상으로 DNS 증폭 DDoS 공격
악성코드 정보 2013/06/27 17:46
6월 25일 주요 정부 기관을 대상으로 한 DDoS(Distributed Denial of Service) 공격이 발생한 이후 새로운 형태의 DDoS 공격 형태가 6월 27일 추가 발견되었다.
이번 발견된 DDoS 공격 형태는 다수의 PC에서 ANY를 요청하던 방식에서, DNS ANY Query를 요청하는 것으로 위장(IP Spoofing) 한 후 ripe.net의 ANY 레코드의 결과를 Open Resolver(Reflector, 일종의 중계 DNS 서버)를 통해 정부 종합 센터의 네임 서버(Name Server)로 전송되도록 하는 전형적인 DNS 증폭 DDoS 공격 (DNS Amplification DDoS Attack) 형태이다.
1. 공격 과정
악성코드에 감염된 다수의 PC에서 IP Spoofing을 사용하여 DNS ANY 레코드 쿼리의 출발지 주소를 정부 종합 센터 DNS 서버로 위장하고, 해당 결과를 Open Resolver ( Reflector)가 적용된 DNS 서버를 통해 정부종합센터로 DNS Amplification DDoS 공격 이 유입되도록 한다.
확인 결과, 금번 DNS 증폭 DDoS (DNS Amplification DDoS) 공격에 공격자가 동원한 20,000 여대의 DNS 서버가 모두 Open 된 DNS 서버는 아닌 것으로 분석되었다.
2. 공격 정보
이 번에 발견된 악성 코드는 2013/6/25 20:43:16 (GMT+9) 경에 제작된 것으로 파악되며, DNS 증폭 분산 서비스 공격을 목적으로 제작 되었다.
해당 파일은 ripe.net의 ANY 응답 결과를 전달할 때 사용하는 중계 DNS 서버 목록은 악성 코드의 .data 영역에 포함되어 있으며, 아래 이미지와 같이 VA값 0x40A044(FileOffset 0xA044)에서부터 IP 목록을 가져오게 된다.
아래 이미지와 같이 파일오프셋(FileOffset) 0xA044 위치에는 IP 목록이 저장되어 있음을 알 수 있다.
참조하기 위한 번호 EDX값을 구하기 위하여 0x4C82로 나누는 것으로 미루어, 공격에 사용할 Resolver IP의 수는 19,586개로 추정 된다.
3) 공격 대상 URL
wuauieop.exe (131,072 바이트)는 코드에 명시된 "ripe.net"의 ANY 쿼리의 응답을 Open Resolver를 사용하는 DNS 서버에 전송하고, 해당 결과를 정부종합센터의 네임서버(152.99.1.10, 152.99.200.6)로 유도하여 공격하는 다음과 같은 특징을 가지고 있다.
* Ripe.net의 ANY Query의 결과는 1000 바이트 이상으로 일반적인 요청에 비해 수십 배에 달함.
* 다수의 Open Resolver에서 ANY Query의 결과를 정부종합센터로 유도하여, 대역폭 고갈 및 네임 서버 자원 고갈을 목적으로 하는 전형적인 DNS 증폭 분산 서비스 공격 방식
아래 이미지는 해당 파일에 감염된 PC에서 수집한 패킷 통계로 초당 약 4,400개의 DNS ANY 쿼리가 전송되는 것을 나타내고 있으며, 해당 수치는 PC의 사양에 따라 다를 수 있다.
이 번에 발견된 주요 정부기관 DNS 서버를 대상한 DNS DDoS 2차 공격을 위한 목적으로 제작된 악성코드들은 최신 엔진으로 업데이트 한 V3 제품 군에서 모두 다음과 같이 진단한다.
Trojan/Win32.Ddkr
Trojan/Win32.XwDoor
현재 ASEC에서는 해당 악성코드들에 대한 상세 분석을 진행 중에 있으며, 추가적으로 확인된 정보들이 있을 경우에는 해당 블로그를 통해 지속적으로 업데이트 할 예정이다.
원본 URL : http://asec.ahnlab.com/951
'이슈(보안)' 카테고리의 다른 글
[BIND] CVE-2013-4854: A specially crafted query can cause BIND to terminate abnormally (0) | 2013.07.29 |
---|---|
[뉴스][단독-2] Struts2 공격툴로 한국 대형사이트 집중 공격...힘겨운 대응! (0) | 2013.07.19 |
[보안] 갈수록 증가하는 DNS 증폭 DDoS 공격의 FAQ! (0) | 2013.07.03 |
[보안] Bind DNS의 DDoS 차단 기능 100% 활용하기! (1) | 2013.07.03 |
[기사] 안랩 "청와대 해킹, 신종 디도스 공격" (0) | 2013.06.26 |