보안이라는 분야는 참 넓고 다양합니다. 흔히 기술적,관리적,물리적이라는 단어는 참 다양하고 넓게 쓰이는듯 합니다. 지금까지 관리적 부분에 많은 할애를 하였는데, 올해부터 영어공부를 목표 중에 하나로 넣었습니다. 따라서 발번역이 될텐데요. 동기부여 차원에서 기술적 부문의 해외 사이트 번역을  해 보려고 합니다. 그러면 기술적 지식공유도, 그리고 번역공부도 될듯해서 말이죠.. 아무튼 달려 봅니다. 오늘은 첫 제목이 "anonymous DDoS 활동" 정도 되겠네요.

1. 개요.

US-CERT는 공공기관과 민간 기업 웹사이트로부터 분산서비스거부공격 (DDoS) 의 대상이 되는 다양한 공격 정보를 받게 됩니다. 어나니머스가 공격하는 집단은 파일호스팅, 사이트 메가 업로드의 종료에 대한 응답과 저작권으로 지적 재산권 및 위조 상품(온라인불법 복제법, SOPA,PIPA)에 실시간 온라인 위협을 가합니다.

2.  설명

US-CERT는 두종류의 DDoS 공격을 증명합니다. : 하나는 HTTP GET reguest 이고, 하나는 단순한 udp flood 입니다.

The Low Orbit Ion Cannon (LOIC) 는 (루이) 어나니머스 활동과 관련된 서비스거부 공격 도구입니다. US-CERT는 적어도 2개의 구현을 검토하였습니다. 한개는 자바스크립트로 작성되었으며 웹브라우져에서 사용토록 설계되었습니다. 공격자는 웹사이트에서 루이 변종에 액세스하여 목표를 선택하고 선택적인 메세지, 공격트래픽 및 공격 모니터 공격 진행을 지정 할 수 있습니다. 루이의 바이너리 변종 노드 IRC 또는 RSS 명령 채널(이하 HiveMind")를 통해 제어 할 수 있도록 봇넷에 참여 하는 능력을 가집니다.



툴 사진은 여기

LOIC 서버 로그를 보면 다음과 같습니다.


"GET /?id=1327014400570&msg=We%20Are%20Legion! HTTP/1.1" 200 99406 "hxxp://pastehtml.com/view/blafp1ly1.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

다음 사이트는 루이 트래픽이 HTTP로그 에서 확인이 되었습니다. 완전하지 않지만 그들은 아직도 루이 또는 기타 악성코드가 작동 하여 호스팅 할 수 있으므로 다음 링크는 방문하지 않는 것이 좋겠습니다.

"hxxp://3g.bamatea.com/loic.html"
"hxxp://anonymouse.org/cgi-bin/anon-www.cgi/"
"hxxp://chatimpacto.org/Loic/"
"hxxp://cybercrime.hostzi.com/Ym90bmV0/loic/"
"hxxp://event.seeho.co.kr/loic.html"
"hxxp://pastehtml.com/view/bl3weewxq.html"
"hxxp://pastehtml.com/view/bl7qhhp5c.html"
"hxxp://pastehtml.com/view/blafp1ly1.html"
"hxxp://pastehtml.com/view/blakyjwbi.html"
"hxxp://pastehtml.com/view/blal5t64j.html"
"hxxp://pastehtml.com/view/blaoyp0qs.html"
"hxxp://www.lcnongjipeijian.com/loic.html"
"hxxp://www.rotterproxy.info/browse.php/704521df/ccc21Oi8/vY3liZXJ/jcmltZS5/ob3N0emk/uY29tL1l/tOTBibVY/wL2xvaWM/v/b5/fnorefer"
"hxxp://www.tandycollection.co.kr/loic.html"
"hxxp://www.zgon.cn/loic.html"
"hxxp://zgon.cn/loic.html"
"hxxp://www.turbytoy.com.ar/admin/archivos/hive.html"


아래는 2012년 1월20일 로그입니다.


3g[.]bamatea[.]com                A    218[.]5[.]113[.]218
cybercrime[.]hostzi[.]com         A    31[.]170[.]161[.]36
event[.]seeho[.]co[.]kr           A    210[.]207[.]87[.]195
chatimpacto[.]org                 A    66[.]96[.]160[.]151  
anonymouse[.]org                  A    193[.]200[.]150[.]125
pastehtml[.]com                   A    88[.]90[.]29[.]58
lcnongjipeijian[.]com             A    49[.]247[.]252[.]105
www[.]rotterproxy[.]info          A    208[.]94[.]245[.]131
www[.]tandycollection[.]co[.]kr   A    121[.]254[.]168[.]87
www[.]zgon[.]cn                   A    59[.]54[.]54[.]204
www[.]turbytoy[.]com[.]ar         A    190[.]228[.]29[.]84

[*번역자주]

-위 로그를 보시면 한국 도메인도 2개나 나타나 있는 것을 보았습니다. 특히 IP정보까지 직접 나타나 있습니다. 
  관련 사이트 담당자분들은 점검을 해 볼 필요가 있겠습니다. -   


HTTP에 대한 요청은 예를들어 유닉스에 사용자 정의 "오류"값을 토대로 "ID"값을 포함한 예시입니다.


GET /?id=1327014189930&msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20

다른 오류값


msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20
msg=:)
msg=:D
msg=Somos%20Legion!!!
msg=Somos%20legi%C3%B3n!
msg=Stop%20S.O.P.A%20:)%20%E2%99%AB%E2%99%AB HTTP/1.1" 200 99406 "http://pastehtml.com/view/bl7qhhp5c.html"
msg=We%20Are%20Legion!
msg=gh
msg=open%20megaupload
msg=que%20sepan%20los%20nacidos%20y%20los%20que%20van%20a%20nacer%20que%20nacimos%20para%20vencer%20y%20no%20para%20ser%20vencidos
msg=stop%20SOPA!!
msg=We%20are%20Anonymous.%20We%20are%20Legion.%20We%20do%20not%20forgive.%20We%20do%20not%20forget.%20Expect%20us!

"메세지"필드는 임의의 공격자가 설정할 수 있습니다.

2012년 1월20일 기준으로 US-CERT는 포트25, 80에 UDP 패킷으로 구성되어 다른 공격을 관찰했습니다. 예를 들면 패딩의 변수에 다음 메세지를 포함하여 공격합니다.


66:6c:6f:6f:64:00:00:00:00:00:00:00:00:00 | flood.........


3. 솔루션

공격뿐만 아니라 대상 네트워크 인프라 종류에 따라 DDoS 공격과 수용가능한 전략은 여러가지가 있을 수 있습니다. 일반적으로 DDoS 공격에 대한 최상의 방어는 철저한 준비과정을 포함하고 있습니다.

  • 점검이나 DDoS 공격의 경우에 따라야 하는 표준운영절차(SOP)를 개발 할 수있습니다. 점검 또는 SOP에서 중요한 포인트는 ISP와 호스팅 업체의 연락처 정보를 가지고 DDoS 공격동안 연락해야 하는 사람을 파악해야하는 것이죠. 또한 어떠한 식별과 어떤 프로세스가 필요한지 어떻게 해야 하는지에 따른 행동은 공격하는 동안 수반이 됩니다.
  • ISP 또는 호스팅 업체는 DDoS 공격을 방어하는 서비스를 제공할 수 있습니다. 직원들이 귀하의 서비스수준계약 (SLA)의 규정을 인식한지 확인해야 합니다.
  • 방화벽팀, IDS팀, 네트워크팀에 대한 정보를 문의하고 그것이  공격 방어에 쉽게 수행 할 수 있도록 유지 합니다.
  • 공격에 대응하는 것 뿐만 아니라 그들이 최우선 동안 유지되어야 하는 중요한 서비스를 식별하는 것이 더 중요합니다. 서비스는 공격의 효과를 제한 할  필요에 따라 자원이 해제 또는 차단 될수 있는지 확인하기 위해 사전에 우선시 되어야 합니다. 중요한 시스템이 DDoS에 견딜수 있는 충분한 능력이 있는지도 확인합니다.
  • 현재 상태에서 네트워크 다이어그램, IT인프라세부정보, 자산, 재고등을 파악해야 합니다. 공격이 진행이 되면 행동과 우선순위를 결정하는데 도움이 될 것입니다.
  • 현재 환경을 이해하고 네트워크 트랙픽 볼륨의 기준, 유형 및 성능을 가지고 말입니다. 이것은 공격 종류를 식별 할 수있도록 공격시점과 공격벡터로 사용됩니다. 필요한 경우 기존의 병목현상과 보완 작업을 식별 합니다.
  • 일부 서비스 비활성화와 응용프로그램의 비활성화하여 기능을 강화하고 네트워크 구성설정, 운영체제 강화는 의도된 기능을 수행합니다.
  • 같은 방화벽과 같은 stateful 보안장치에 부하를 감소하기 위해 에지 라우팅이 가능한다면 서비스 검사를 할 수있는 직원이 있어야 합니다.
  • 중요한 서비스 분리
    • 공공 및 개인서비스
    • 인트라넷, 익스트라넷 및 인터넷서비스
    • HTTP,FTP 및 DNS와 같은 각 서비스에 대한 단일 목적 서버 만들기
    • US-CERT 사이버 보안팁 이해하기  http://www.us-cert.gov/cas/tips/ST04-015.html


4. 참고문헌


원본 출처: http://www.us-cert.gov/cas/techalerts/TA12-024A.html

번역이 그리 매끄럽지 않아 이상 할 수도 있습니다만 아무튼 그냥 남에게 보여주기식 보다는 제가 공부한다는 자세로 포스팅 해 볼 생각입니다. 혹시 이해가 안되시는 분은 출처를 남겨 놓았으니 영문 원본 출처 사이트를 이용해 주시면 좋겠구요. 덧붙여 매끄럽게 번역이 안되면 지적도 해 주시면 포스팅을 수정해서 놓겠습니다. 전문가는 나이와는 상관이 없는 듯 합니다. 꾸준히 노력 해야 할 뿐이지요. @엔시스.

* 최종수정일 :2012.02.09  10:38:40

 
신고
Posted by 엔시스