독일 시스템에 대한 DDoS 공격 악성코드 발견

2009년 8월 3일에서 4일 독일에 위치한 특정 시스템으로 분산 서비스 거부 공격(DDoS)을 수행하는 악성코드들이 발견되었다는 보고가 2009년 8월 5일 ASEC으로 전달 되었다.


분산 서비스 거부 공격은 전 세계에 위치한 102대의 악성코드에 감염된 좀비(Zombie) 시스템들
에 의해서 이루어졌으며 공격을 받은 시스템은 독일에 위치한 시스템으로 최초 보고 되었다.


악성코드에 감염된 좀비 시스템들은 위 이미지에서와 같이 전 세계에 걸쳐서 다양하게 분포되어 있으며 다행스럽게도 한국 내에 존재하는 시스템은 없었다.


그러나 ASEC에서 분석을 진행하는 과정에서 공격 대상이 되는 시스템은 악성코드에 감염된 좀비 시스템을 조정하는 커맨드 앤 컨트롤 (C&C, Command and Control) 시스템을 통해  악성코드 제작자 또는 악의적인 공격자 명령에 따라서 공격 대상이 변경 되는 것으로 분석 되었다.

해당 악성코드는 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/IRCBot.20480.F


해당 악성코드가 실행이 되면 아래 이미지에서와 같이 특정 IP 대역의 시스템으로 ICMP 체크를 통해 응답이 오는 시스템들에 대해 원격 접속 프로그램인 Radmin 프로그램의 기본 포트인 TCP/4899 로 접속을 시도한다.


리고 C&C 시스템을 통해  악성코드 제작자 또는 악의적인 공격자가 지정한 시스템으로 TCP Syn flooding 형태의 분산 서비스 거부 공격을 수행하게 된다.


해당 IRCBot 악성코드에 감염된 좀비 시스템들을 조종하는 C&C 시스템은 중국에 위치하고 있으며 해당 시스템의 웹 페이지에서는 아이프레임(iFrame)을 통해 다른 악성코드를 유포 중에 있었다.

중국에 위치한 C&C 시스템에서 유포하는 악성코드는 V3  제품군에서 다음과 같이 진단한다.

Win-Trojan/Downloader.9728.OP


ASEC에서 이번 독일 시스템에 대한 분산 서비스 거부 공격에 사용된 악성코드와 C&C 시스템에 대한 분석으로는 특별한 용도로 제작된
웹 익스플로잇 툴 킷
을 통해 조정되거나 악성코드가 유포되고 있는 것으로 추정된다.

이러한 악성코드의 감염으로 인해 좀비 시스템으로 악용 되는 것을 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments