2024-11-22 14:05 (금)
[6.25 해킹] 정부전산정보관리소 공격, 일종의 DNS DDoS 공격!
상태바
[6.25 해킹] 정부전산정보관리소 공격, 일종의 DNS DDoS 공격!
  • 길민권
  • 승인 2013.06.26 13:29
이 기사를 공유합니다

UDP Port 53번 이용 DNS 서버에 질의응답 무작위로 발송…과부하 유도
6월 25일 오전 6시경 제작된 악성파일도 발견되었다. 이 악성파일은 감염시 특정 조건에 따라 시스템폴더에 oleschedsvc.dll (생성될 때마다 파일명 랜덤), wuauieop.exe 등을 생성한다고 잉카인터넷 측은 설명했다.
 
업체 관계자는 “이 악성파일은 기존 웹하드 설치프로그램을 통해서 유포되었던 것으로 추정되며, 다음과 같은 절차를 통해서 감염이 진행되며, 감염전에 먼저 OpenFileMappingA API 함수를 호출하여 "GlobalMicrosoftUpgradeObject9.6.4" 값이 존재하는지 비교를 통해서 감염여부를 체크한다”고 밝혔다.
 
SimDisk_setup.exe -> Simdiskup.exe -> c.jpg(~simdisk.exe) -> sermgr.exe -> ~DR(숫자).tmp -> ~DL(숫자).tmp -> ole(윈도우 시스템 서비스명).dll -> wuauieop.exe
 
c.jpg 파일의 경우 그림파일로 위장하고 있지만 실제로는 exe 실행형 악성파일이다. (http://www.habang.co.kr/images/korea/c.jpg)
 
윈도우 OS가 32비트인 경우에는 임시폴더(Temp)에 "~DR(숫자).tmp" 파일을 생성하고, 실행한다. 그리고 동일 경로에 생성된 "~DL(숫자).tmp" 파일은 ole(윈도우 시스템 서비스명).dll 파일로 자신을 복사하고 실행한다.

 
ole(윈도우 시스템 서비스명).dll 파일은 아래와 같은 웹 사이트로 접속하여 추가파일을 다운로드 시도한다.
 
http://webmail.genesyshost.com/mail/images/ct.jpg
http://www.hostmypic/net/pictures/e02947e8573918c1d887e04e2e0b1570.jpg

 
위 웹메일 서비스는 지난 3.20 사이버 테러 때와 5.31 사이버공격용 악성파일들이 사용하던 방식과 일치하는 수법이다. 2013년 5월 31일 발견되었던 악성파일은 3.20 변종 악성파일로 분류되어 잉카인터넷과 이스트소프트가 연합대응을 진행한 바 있다.
 
아래는 2013년 5월 31일에 접속을 시도했던 웹메일 서비스의 사이트 화면으로 이번에 악성파일이 C&C 통신하는데 사용한 구성과 일치하는 것을 알 수 있다.

 
만약 파일 접속이 성공하게 되면 윈도우 하위의 임시폴더(Temp)에 "~MR(숫자).tmp 파일로 다운로드한다. 분석시 "ct.jpg" 파일이 다운로드 되었다.

 
ole(윈도우 시스템 서비스명).dll 파일은 자신이 보유하고 있는 고유 인자값 "BM6W" 와 공격명령(06월 25일 오전 10시 이후) 시간을 비교한다. [ConvertStringSecurityDescriptorToSecurityDescriptorA]

 
감염된 시스템의 날짜와 공격명령 조건이 일치할 경우 시스템 폴더에 "wuauieop.exe" 악성파일을 생성시키고 실행하게 된다. 본격적인 DDoS 공격 명령을 스케줄에 따라서 수행하게 되는 것이다.
 
악성파일은 다량의 패킷 쿼리를 정부전산정보관리소(*.gcc.go.kr) 서버로 전송하여 DNS 서버의 리소스를 소모시켜, 결과적으로 정부기관의 웹 사이트에 과부하를 일으키는 일종의 DNS DDoS 공격 기법이라 할 수 있다.

 
공격 IP 대상은 [152.99.1.10:53], [152.99.200.6:53] 로 UDP Port 53번을 이용해서 DNS 서버에 질의응답을 무작위로 발송하게 되고, 임의로 생성되는 도메인은 문자열이 최대 28자까지 허용하여 gcc.go.kr 서버에 과부하가 발생하게 된다.
 
-ns.gcc.go.kr [152.99.1.10]
-ns2.gcc.go.kr [152.99.200.6]
 
특정 도메인에 대한 개별 서비스거부(DoS)공격을 수행하는 것 보다는 정부기관의 DNS 서버를 공격해서 공격효과를 극대화하기 위해서 사용된 지능화된 공격수법이라 할 수 있고, ANY Query 패킷을 전송함과 동시에 NS와 NS2에 질의를 함께 요청함에 따라 과부하 발생을 최대한 유도하였다.

 
DNS 서버의 부하증가를 시키기 위해서 일반적인 DNS Query 크기보다 상대적으로 큰 1300~1500 Bytes 값으로 Query 를 보내게 된다.

 
잉카인터넷 대응팀 관계자는 “악성파일들은 다수의 변종들이 발견되고 있으며 nProtect Anti-Virus 제품에서는 대표진단명인 Trojan/W32.KRDDoS 탐지명으로 치료기능이 지속적으로 추가 중”이라고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★