국내 기관들을 DDoS 공격 중인 DDoSia 악성코드 분석 보고서
러시아의 핵티비스트 그룹인 NoName057(16)은 2022년 3월부터 활동이 확인되고 있으며 반러시아적 시각을 가진 대상에 DDoS 공격을 수행하는 것이 목적이다. 2024년 11월에는 친 러시아 성향의 핵티비스트들인 Cyber Army of Russia Reborn, Alixsec와 함께 국내 주요 정부 기관 웹사이트를 대상으로 DDoS 공격을 수행하였는데 이는 우리나라 정부의 우크라이나 무기 지원 발언이 공격의 계기인 것으로 보인다. 해당 공격에 의해 국내 다양한 기관들이 피해를 입었다.
NoName057(16)의 특징 중 하나는 DDoSia와 같은 자동화된 DDoS Bot을 활용하며 이를 통해 개인 사용자들도 공격에 참여할 수 있도록 장려한다는 점이다. 공격자가 운영하는 텔레그램 채널의 경우 수만 명의 많은 구독자를 보유하고 있는데 소셜 미디어를 적극적으로 활용해 자신들의 활동을 홍보하고 공격 목표와 진행 상황을 실시간으로 공유한다. 이외에도 참여자들은 공격 성공 시 암호 화폐로 보상받는 구조로 되어 있어 보다 많은 사람들이 동참하도록 유도한다.
이렇게 명확한 정치적 메시지를 담은 DDoS 공격으로 서비스를 방해하고 사회적 혼란을 일으킴으로써 군사적 충돌 상황에서 사이버 공간을 이용한 심리적 압박을 목표로 하는 것이 특징이다.
Figure 1. DDoSia 공격 흐름도
DDoSia는 텔레그램 채널에서 다운로드한 “client_id.txt”를 동일 경로에 두고 실행하는 방식으로 동작한다. 기본적으로 바이너리 내부에 포함된 C&C 서버 주소가 사용되지만 C&C 서버 주소는 지속적으로 변경되기 때문에 접속이 불가할 경우 텔레그램에서 공격자에게 새로운 IP 주소를 전달받아야 한다.
DDoSia가 실행되면 먼저 인증 단계를 거치는데 ID 즉 “client_id.txt” 파일을 기반으로 시스템의 기본적인 정보를 수집한 후 전송한다. 이때 URL은 “/client/login”이 사용되며 시스템의 정보는 암호화되어 있다. 이후 C&C 서버로부터 Timestamp를 전달받고 이를 기반으로 다시 C&C 서버에 접속하여 공격 대상 목록을 전달받는다. 이때 사용되는 URL은 “/client/get_targets”이다. 마지막으로 공격 현황에 대한 결과도 “/set_attack_count” URL을 통해 주기적으로 C&C 서버에 전송한다.
Figure 2. 인증 과정의 패킷
C&C 서버로부터 전달받은 명령들 중에는 http, http2, tcp, nginx_loris 방식이 있다. Go 언어로 개발된 DDoSia는 http, http2 명령은 지원하지만 tcp, nginx_lorix 명령은 지원하지 않는다. 참고로 파이썬으로 개발된 DDoSia의 과거 버전에서는 TCP SYN Flood 기법을 지원하였기 때문에 또 다른 버전에서는 이를 지원할 가능성이 존재한다. 이외에도 DDoS 공격 시 보안 제품의 탐지를 우회하기 위한 목적으로 C&C 서버나 DDoS 공격 대상에 HTTP 요청 시 User-Agent를 랜덤하게 선택하여 전송하는 것도 특징이다.
Figure 3. 복호화된 공격 대상 목록
