소프트인포 더좋은소프트웨어
Home고객지원공지사항
공지사항
DDoS 공격 관련 정보 및 대처방안2011-03-04   11-03-05
소프트정보…   9,635
 



1. 바이러스 체이서 싸이트 내용보기 <- 클릭


2.바이로봇-하우리 싸이트 내용보기 <- 클릭


3. 안철수연구소-싸이트 바로가기 <-클릭   



4. 한국카스퍼스키 -싸이트 바로가기 <-클릭  


5. 시만텍코리아 내용보기 <--클릭               





2009 7.7 디도스 대란 때와 다른 점:

1.서버에 직접 침투·명령 반복수행과부하 유발
2.
백신 소프트웨어 자동갱신 방해 무력화
3.
지능화, 위력적인 공격력

바이러스명

DDoS.Attack.CS

형태

트로이목마

전파방법

웹사이트를 이용한 전파

운영체제

Windows 플랫폼

정보작성일

2011-03-04

패턴 업데이트일

2011-03-04

별칭

Trojan.Siggen2.23619

간략히

ㅇ 이번 공격은 지난 2009 7 7일부터 9일까지 국내 17개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다.
ㅇ 공격 대상은 40여개로 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력㈜이며 추가적으로 발생되는 공격 대상들은 확인중에 있다

조치방법

ㅇ 바이러스 프로그램으로 메모리 검사를 한 후에 '검사시작'을 눌러 전체검사를 실시해야 한다.

1. 서버에 직접 침투·명령 반복수행과부하 유발

서버의 주기억장치(메모리)가 감당할 수 없을 만큼 각종 자료를 읽도록 만들거나 특정 명령을 반복해서 수행하는 식-서버가 정작 이용자들이 원하는 일을 할 수 없어 사이트가 무용지물이 된다.

한국인터넷진흥원(KISA) 관계자는 "악성 코드가 지시하는 구체적인 수행 명령이 무엇인 지
알 수 없으나 서버가 오작동을 하게 만든다" "서버에 직접 명령을 내리면 파괴력이 커지기
때문에 굳이 많은 좀비PC가 필요없다"고 말했다.
적은 숫자의 좀비PC가 오히려 많은 숫자의 좀비PC보다 파괴력이 더 강해지는 셈이다
.
그만큼 악성 코드가 지능화된 셈이다
.
특히 일부 검색 사이트를 겨냥한 공격은 치명적일 수 있다
.
현재 검색 사이트들은 사람들이 많이 찾는 검색어에 해당하는 결과를 미리 특정 서버에

저장해 놓고, 이용자가 검색어를 입력했을 때 바로 보여준다.
그런데 여기에 "특정 서버에서 검색 결과를 찾지 말고 모든 웹사이트를 새로 검색하라"

명령을 내리면 검색 결과를 표시하는데 오랜 시간이 걸린다.
KISA
관계자는 "네이버 다음 등 검색 포털을 겨냥한 이 같은 악성 코드의 공격 징후가 일부

발견됐다" "포털 측에서 새로 검색하라는 명령어를 잘라내는 방식으로 대응했다"고 설명.

2. 백신 소프트웨어 자동갱신 방해 무력화

방송통신위원회에 따르면 이번 악성 코드는 안철수연구소의 V3와 이스트소프트의 알약
등 백신 소프트웨어가 자동 갱신을 하지 못하도록 방해한다.

백신 소프트웨어는 항상 자동 갱신을 통해 최신 컴퓨터 바이러스와 악성 코드 정보를
새로 확보해 차단하므로, 자동 갱신을 하지 못하면 최신 컴퓨터 바이러스와 악성 코드를
막지 못한다.
악성 코드가 스스로를 보호하기 위해 백신 소프트웨어부터 무장해제 시킴.

이에 대한 해결책으로 방통위는 결국 전용 백신을 따로 만들었다.

전용 백신은
인터넷침해대응센터(www.krcert.or.kr )보호나라(www.boho.or.kr )에서 받을 수 있다.

7.7 디도스 대란 때처럼 이번 악성 코드 역시 기능을 스스로 개선한다.
KISA
에 따르면 이번 악성 코드는 7.7 디도스 대란과 동일한 드롭퍼를 이용한다
.
드롭퍼는 여기 저기 흩어진 사이트에서 필요한 기능을 가져 오는 역할을 한다
.
처음에는 몸체만 있다가 팔, 다리를 가져오고 공격에 필요한 창, 칼 등 무기를 가져와 기능을 개선하는 식.

악성 코드가 굳이 이렇게 복잡한 방법을 택한 이유는 추적을 피하기 위해서다.
KISA
관계자는 "드롭퍼를 이용하면 처음에 악성 코드로 진단하기 어렵고, 찾아내더라도 여러 사이트에서 필요한 기능을 가져와 조합하므로 시간이 오래 걸린다" "이번 악성 코드는 미국 등 해외 여러 사이트에서 필요한 기능을 내려받아 조합했다"고 강조했다
.
이 관계자는 "드롭퍼가 전송받은 사이트들은 모두 외국에 있다" "그러나 외국사이트들이 공격을 받은 흔적은 보이지 않는다"고 덧붙였다.

그만큼 이번 디도스 공격을 시도한 악성 코드는 완전 소탕에 시간이 걸릴 것으로 보인다.
KISA
관계자는"이번 악성 코드는 총을 꺼내 쏘기 전까지 적인지 아군인 지 알 수 없는 베트콩


 
공지사항

사무실 이전 안내-2011-03-28-소프트정보서비스 
전자계산서 미발행 전송시 가산세부과