2009년 8월 3일에서 4일 독일에 위치한 특정 시스템으로 분산 서비스 거부 공격(DDoS)을 수행하는 악성코드들이 발견되었다는 보고가 2009년 8월 5일 ASEC으로 전달 되었다.
분산 서비스 거부 공격은 전 세계에 위치한 102대의 악성코드에 감염된 좀비(Zombie) 시스템들에 의해서 이루어졌으며 공격을 받은 시스템은 독일에 위치한 시스템으로 최초 보고 되었다.
악성코드에 감염된 좀비 시스템들은 위 이미지에서와 같이 전 세계에 걸쳐서 다양하게 분포되어 있으며 다행스럽게도 한국 내에 존재하는 시스템은 없었다.
그러나 ASEC에서 분석을 진행하는 과정에서 공격 대상이 되는 시스템은 악성코드에 감염된 좀비 시스템을 조정하는 커맨드 앤 컨트롤 (C&C, Command and Control) 시스템을 통해 악성코드 제작자 또는 악의적인 공격자 명령에 따라서 공격 대상이 변경 되는 것으로 분석 되었다.
해당 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/IRCBot.20480.F
해당 악성코드가 실행이 되면 아래 이미지에서와 같이 특정 IP 대역의 시스템으로 ICMP 체크를 통해 응답이 오는 시스템들에 대해 원격 접속 프로그램인 Radmin 프로그램의 기본 포트인 TCP/4899 로 접속을 시도한다.
그리고 C&C 시스템을 통해 악성코드 제작자 또는 악의적인 공격자가 지정한 시스템으로 TCP Syn flooding 형태의 분산 서비스 거부 공격을 수행하게 된다.
해당 IRCBot 악성코드에 감염된 좀비 시스템들을 조종하는 C&C 시스템은 중국에 위치하고 있으며 해당 시스템의 웹 페이지에서는 아이프레임(iFrame)을 통해 다른 악성코드를 유포 중에 있었다.
중국에 위치한 C&C 시스템에서 유포하는 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Downloader.9728.OP
ASEC에서 이번 독일 시스템에 대한 분산 서비스 거부 공격에 사용된 악성코드와 C&C 시스템에 대한 분석으로는 특별한 용도로 제작된 웹 익스플로잇 툴 킷을 통해 조정되거나 악성코드가 유포되고 있는 것으로 추정된다.
이러한 악성코드의 감염으로 인해 좀비 시스템으로 악용 되는 것을 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

분산 서비스 거부 공격은 전 세계에 위치한 102대의 악성코드에 감염된 좀비(Zombie) 시스템들에 의해서 이루어졌으며 공격을 받은 시스템은 독일에 위치한 시스템으로 최초 보고 되었다.

악성코드에 감염된 좀비 시스템들은 위 이미지에서와 같이 전 세계에 걸쳐서 다양하게 분포되어 있으며 다행스럽게도 한국 내에 존재하는 시스템은 없었다.
그러나 ASEC에서 분석을 진행하는 과정에서 공격 대상이 되는 시스템은 악성코드에 감염된 좀비 시스템을 조정하는 커맨드 앤 컨트롤 (C&C, Command and Control) 시스템을 통해 악성코드 제작자 또는 악의적인 공격자 명령에 따라서 공격 대상이 변경 되는 것으로 분석 되었다.
해당 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/IRCBot.20480.F
해당 악성코드가 실행이 되면 아래 이미지에서와 같이 특정 IP 대역의 시스템으로 ICMP 체크를 통해 응답이 오는 시스템들에 대해 원격 접속 프로그램인 Radmin 프로그램의 기본 포트인 TCP/4899 로 접속을 시도한다.

그리고 C&C 시스템을 통해 악성코드 제작자 또는 악의적인 공격자가 지정한 시스템으로 TCP Syn flooding 형태의 분산 서비스 거부 공격을 수행하게 된다.
해당 IRCBot 악성코드에 감염된 좀비 시스템들을 조종하는 C&C 시스템은 중국에 위치하고 있으며 해당 시스템의 웹 페이지에서는 아이프레임(iFrame)을 통해 다른 악성코드를 유포 중에 있었다.
중국에 위치한 C&C 시스템에서 유포하는 악성코드는 V3 제품군에서 다음과 같이 진단한다.
Win-Trojan/Downloader.9728.OP
ASEC에서 이번 독일 시스템에 대한 분산 서비스 거부 공격에 사용된 악성코드와 C&C 시스템에 대한 분석으로는 특별한 용도로 제작된 웹 익스플로잇 툴 킷을 통해 조정되거나 악성코드가 유포되고 있는 것으로 추정된다.
이러한 악성코드의 감염으로 인해 좀비 시스템으로 악용 되는 것을 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.
Categories:악성코드 정보