IT·전자

DDoS 막을수 없었나

발행일시 : 2009-09-03 10:30

DDoS(distributed denial of service, 분산서비스 거부공격)가 한차례 우리나라를 쓸고 지나갔다. 북한의 공격이라는 북풍설부터 좀비 PC 파괴까지 각계각층에서 다양한 말들이 쏟아져 나왔다. 그러나 악성코드를 이용한 DDoS 공격은 누구나 쉽게 할 수 있는 초보적인 방식으로 전문가들이 특정한 정보를 얻기 위해서나 시스템을 파괴하기 위해서 사용하는 방식은 아니다. 물론 전문적인 해킹을 위해서 미리 점검하는 수준이 아니었나 추측하는 전문가의 말처럼 또다른 공격을 위한 준비였다면 모를까 공격대상이 복구 불가능한 피해를 입히거나 중요 정보를 얻기 위한 공격은 아니라는 것이다. IT 강국으로 불리는 한국이 왜 이런 초보적인 DDoS 공격에 국가적으로 떠들썩하고 어려웠을까? DDoS에 대해 살펴보며 이번 사태에 대해 되짚어 보는 시간을 마련했다.

DDoS 막을수 없었나

DDoS공격은 동시에 많은 접속(트래픽)을 유발해 서버를 다운시키는 분산접속네트워크 공격방식을 의미한다. 어찌보면 원시적인 공격방법이나 아직 뚜렷한 해법이 마련되지 않은 상태로 해킹이라고 불리는 좀 단순한 공격방식이다. 해킹이라는 말 자체가 시스템에 침투 관리자권한이나 이에 상응하는 권한을 획득하여 자료를 변조, 유출 시키거나 정상적인 시스템을 못하게 만드는 것이라면 DDoS는 단순한 트래픽 증가를 유발하여 원활한 활동을 방해 하는 것이다.

이번 공격도 악성코드를 사용해 특정PC들을 좀비 PC로 만들어 정해진 시간에 트래픽을 증가시켜 사이트가 정상적인 활동을 하지 못하게 하면서 국정원, 청와대를 비롯한 국가기관과 옥션, 네이버 등 인터넷 사이트를 공격한 것이다. (주)에이스리씨큐리티의 분석에 따르면 7.7 DDoS 공격은 지난 7월 4일 미국 주요사이트를 대상으로 공격이 시작됐으며 국내 최초 공격은 7월 7일 오후 6~7시경 네이버 메일 서비스에서 처음 발견됐다. 이후 정부, 대기업 등을 주요 대상으로 7월 10일 0시까지 공격이 계속됐다.

■ 공격 분석

이번 공격은 대상 및 최초 감염시킨 Msiexec.exe(Windows Installer, 윈도 인스톨러)를 통해 다운받아 실행시키는 구조를 가지고 있었다. 다시 다운받은 악성코드들은 스스로 대상 및 공격코드를 생성 다양한 공격을 수행했다.

■ 공격에 사용된 주요 파일과 역할

파일명

내용

Msiecec.exe

최초 악성코드 전파 파일

msiexec1.exe

wmiconf.dll, uregve.nls, wme.bat 및 Wmiconfig 서비스등록

msiexec2.exe

uregve.nls, wme.bat 생성

msiexec3.exe

uregve.nls, wme.bat 생성

wmiconf.dll

DDoS-GET Flooding 수행

mstimer.dll

mail 전송, 특정 조건에 의해 wversion.exe 실행

flash.gif

두 개의 실행 파일(wversion.exe 포함)을 가지고 있다

uregve.nls

DDoS 공격 대상 및 공격시간 정보 포함

wmcfg.exe

wversion.exe생성 및 Windows Timer Service(mstimer.dll)서비스등록

wversion.exe

특정 확장자를 가진 파일 및 하드디스크 파괴수행

DDoS 막을수 없었나

■ 최초감염

최초 Msiecec.exe(윈도 인스톨러)를 감염시켜 해당 프로그램을 통해 Msiecec1.exe, Msiecec2.exe 등의 악성파일을 다운받아 실행 -Msiecec.exe(윈도 인스톨러) bot agent와 유사한 기능 수행

■ DDoS 공격

1.Msiecec.exe를 통해 다운받아 실행되는 msiecec1.exe을 실행하면 공격대상이 들어있는 파일(uregv.nls)을 다운받아 실행한 msiecec1.exe를 삭제하는 스크립트 파일(vmt.bat) 그리고 wmiconf.dll을 생성하여 윈도우 서비스에 등록시켜 uregv.nls에서 공격대상을 읽어 DDoS 공격 수행

2. 일부 msiecec2.exe 등에는 wmidonf.dll을 생성하는 코드가 포함되지 않고 미리 생성된 서비스를 통해 단순히 공격 대상 파일만 변경하는 역할

■ 스펨메일 전송

변종이라 발견된 msiexec*.exe 중에는 wmcfg.exe를 생성 실행하고 있었으며 wmcfg.exe를 실행하게 되면 mstimer.dll을 생성하여 윈도 타이머 서비스(Windows Timer service)로 등록하여 스팸메일 전송 등의 공격을 수행하고 wvmersion.exe 파일을 생성함

■ 하드디스크 파괴

wmcfg.exe에 의해 생성된 wvmersion.exe파일은 mstimer.dll에의해 다운된 flash.gif의 일부와 합쳐져 하드디스크 파괴를 수행하게된다. wnersion.exe는 mstimer.dll에 의해 특정조건이 만족할 경우 수행하게 되며 로컬 하드디스크의 A~Z까지 읽어 MBR등을 파괴한다. 파괴전 doc, xml, ppt···등 대부분의 중요한 확장자를 검사하여 파일을 암호화함으로 하드디스크 복구가 어렵다.

■ 주요 악성코드 분석

DDoS 공격

1. msiexec*.exe

msiexe1.exe에는 wmiconf.dll을 생성하고 서비스를 등록하는 코드가 포함되어 있었지만 msiexec2.exe와 msiexec3.exe은 단지 대상과 자신을 삭제하는 vme.bat 파일을 만들어 실행하는 코드만 포함되어 있다.

DDoS 막을수 없었나
DDoS 막을수 없었나

msiexec1.exe, msiexec2.exe에서 생성되는 대상은 각자 달랐으며, msiexec1.exedp 의해 생성된 대상에는 한국은 포함돼지 않았다. 마지막으로 msiexec*.exe에서 생성된 vme.bat 파일은 다운받은 파일이 삭제가 될 때 까지 계속 삭제되도록 만들어졌으며 삭제되면 자식도 삭제가 된다.

DDoS 막을수 없었나

2. wmiconf.dll

wmiconf.dll은 msiexec1.exe를 통해 생성됐으며 WmiConfig라는 서비스로 등록돼 해당서비스에는 DDoS 공격에 사용한 겟 플루딩(GET Flooding) 루틴이 포함돼있다. 공격대상 파일(uregvs.nls)를 읽어 해당 대상으로 공격을 시도하게 된다. 다음 공격대상 파일(uregvs.nls)를 읽어 들여 공격에 사용할 HTTP 겟 패켓(GET packet)을 만들어 내는 코드다. 효과적인 공격을 위해 반응(Response)을 캐시에 저장하지 못하도록 캐시-컨트롤:노-스토어, 머스트-리벨러데이트(Cache-Control:no-store, must-revalidate)를 헤더에 추가하는 코드가 포함돼있다.

로컬디스크 파괴

1. wmcfg.exe

wmcfg.exe는 악성 메일을 전파하는 윈도 타임 서비스(mstimer.dll)를 생성하고 악성코드에 의해 생성된 파일 등을 삭제하는 루틴이 포함돼있다.

DDoS 막을수 없었나
DDoS 막을수 없었나

2. mstimer.dll

Wmcfg.exe.에 의해 생성된 mstimer.dll은 20byte의 첨부 파일이 담긴 메일을 전송하는 기능을 가지고 있으며 인터넷을 통해 다운받은 flash.gif에는 두 개의 실행파일이 있다. 이중 하나가 wversion.exe이며 특정 조건을 만족하면 파일을 실행시킨다. mstimer.dll은 memory.rar이라는 이름을 갖는 파일은 20byte로 네트워크에 부하를 주기 위한 것으로 보여지고 있다.

DDoS 막을수 없었나

3. wversion.exe

wversion.exe에는 실제 하드디스크의 MBR 등을 ‘Memory of the Independence Day’fh Overwrite(로컬 하드디스크를 파괴하는 기능)을 하게된다. 보안업체들과 기관들이 서둘러 대책을 마련했고 빠른 상황대응과 적적한 행동으로 큰 피해 없이 이번 사태를 마감했으나 일부 보안전문가들의 말처럼 향후 또 다른 공격을 위한 준비 할 수도 있다고 보면 향후 이와 같은 사태에 대한 대응 방안 마련도 필요하다. 2008년 3월 코리안 클릭의 조사에 따르면 국내 인터넷 사용자중 44.2%는 백신을 사용하고 있지 않으며 이중에도 정식 백신을 사용하는 비율은 57%에 그치는 것으로 조사됐다.

꿈에 나타날까 두려운 DDoS 공격

DDoS 막을수 없었나

결국 개개인의 안일한 보안에 대한 개념들이 이번 사태의 핵심인 것이다. 여기에 스팸 메일을 통해 전파된 악성코드까지 감안한다면 각 개인들의 책임도 무시 할 수는 없다. 보안에 대한 개념은 각 개인이 더욱 철저히 관리해야 피해를 최소화 할 수 있는데 이번 사태의 경우처럼 개인의 PC에 영향을 미치지 않는 경우에는 더구나 관리에 소홀하고 이런 상황이 사태를 더욱 악화 시키는 것이다. 결국 각 개인이 보안에 대한 인식을 강화하고 사전에 안전한 관리를 철저히 한다면 이번 사태와 같은 일은 쉽게 발생하기 어렵다는 것이다. IT 강국이라는 이름에 걸맞지 않게 발생한 사태로 인해 보안에 대한 인식이 한층 더 높아지고 인프라만이 아니라 이에 맞는 다양한 관련 산업에도 더욱 비중을 높여 세계 최고의 IT 강국으로 한걸은 더 내딪을 좋은 기회가 되길 빈다.

DDoS 막을수 없었나
© 2020 nextdaily.co.kr 무단전재 및 재배포금지

(주)넥스트데일리 | 등록번호 : 서울 아 01185 | 등록일 : 2010년 03월 26일 | 제호 : 넥스트데일리 | 발행·편집인 : 구원모
서울시 금천구 가산디지털2로 123, 701호ㅣ발행일자 : 2005년 08월 17일 | 대표전화 : 02-6925-6346 | 청소년보호책임자 : 나성률

Copyright © Nextdaily. All Rights Reserved