보안이라는 분야는 참 넓고 다양합니다. 흔히 기술적,관리적,물리적이라는 단어는 참 다양하고 넓게 쓰이는듯 합니다. 지금까지 관리적 부분에 많은 할애를 하였는데, 올해부터 영어공부를 목표 중에 하나로 넣었습니다. 따라서 발번역이 될텐데요. 동기부여 차원에서 기술적 부문의 해외 사이트 번역을  해 보려고 합니다. 그러면 기술적 지식공유도, 그리고 번역공부도 될듯해서 말이죠.. 아무튼 달려 봅니다. 오늘은 첫 제목이 "anonymous DDoS 활동" 정도 되겠네요.

1. 개요.

US-CERT는 공공기관과 민간 기업 웹사이트로부터 분산서비스거부공격 (DDoS) 의 대상이 되는 다양한 공격 정보를 받게 됩니다. 어나니머스가 공격하는 집단은 파일호스팅, 사이트 메가 업로드의 종료에 대한 응답과 저작권으로 지적 재산권 및 위조 상품(온라인불법 복제법, SOPA,PIPA)에 실시간 온라인 위협을 가합니다.

2.  설명

US-CERT는 두종류의 DDoS 공격을 증명합니다. : 하나는 HTTP GET reguest 이고, 하나는 단순한 udp flood 입니다.

The Low Orbit Ion Cannon (LOIC) 는 (루이) 어나니머스 활동과 관련된 서비스거부 공격 도구입니다. US-CERT는 적어도 2개의 구현을 검토하였습니다. 한개는 자바스크립트로 작성되었으며 웹브라우져에서 사용토록 설계되었습니다. 공격자는 웹사이트에서 루이 변종에 액세스하여 목표를 선택하고 선택적인 메세지, 공격트래픽 및 공격 모니터 공격 진행을 지정 할 수 있습니다. 루이의 바이너리 변종 노드 IRC 또는 RSS 명령 채널(이하 HiveMind")를 통해 제어 할 수 있도록 봇넷에 참여 하는 능력을 가집니다.



툴 사진은 여기

LOIC 서버 로그를 보면 다음과 같습니다.


"GET /?id=1327014400570&msg=We%20Are%20Legion! HTTP/1.1" 200 99406 "hxxp://pastehtml.com/view/blafp1ly1.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

다음 사이트는 루이 트래픽이 HTTP로그 에서 확인이 되었습니다. 완전하지 않지만 그들은 아직도 루이 또는 기타 악성코드가 작동 하여 호스팅 할 수 있으므로 다음 링크는 방문하지 않는 것이 좋겠습니다.

"hxxp://3g.bamatea.com/loic.html"
"hxxp://anonymouse.org/cgi-bin/anon-www.cgi/"
"hxxp://chatimpacto.org/Loic/"
"hxxp://cybercrime.hostzi.com/Ym90bmV0/loic/"
"hxxp://event.seeho.co.kr/loic.html"
"hxxp://pastehtml.com/view/bl3weewxq.html"
"hxxp://pastehtml.com/view/bl7qhhp5c.html"
"hxxp://pastehtml.com/view/blafp1ly1.html"
"hxxp://pastehtml.com/view/blakyjwbi.html"
"hxxp://pastehtml.com/view/blal5t64j.html"
"hxxp://pastehtml.com/view/blaoyp0qs.html"
"hxxp://www.lcnongjipeijian.com/loic.html"
"hxxp://www.rotterproxy.info/browse.php/704521df/ccc21Oi8/vY3liZXJ/jcmltZS5/ob3N0emk/uY29tL1l/tOTBibVY/wL2xvaWM/v/b5/fnorefer"
"hxxp://www.tandycollection.co.kr/loic.html"
"hxxp://www.zgon.cn/loic.html"
"hxxp://zgon.cn/loic.html"
"hxxp://www.turbytoy.com.ar/admin/archivos/hive.html"


아래는 2012년 1월20일 로그입니다.


3g[.]bamatea[.]com                A    218[.]5[.]113[.]218
cybercrime[.]hostzi[.]com         A    31[.]170[.]161[.]36
event[.]seeho[.]co[.]kr           A    210[.]207[.]87[.]195
chatimpacto[.]org                 A    66[.]96[.]160[.]151  
anonymouse[.]org                  A    193[.]200[.]150[.]125
pastehtml[.]com                   A    88[.]90[.]29[.]58
lcnongjipeijian[.]com             A    49[.]247[.]252[.]105
www[.]rotterproxy[.]info          A    208[.]94[.]245[.]131
www[.]tandycollection[.]co[.]kr   A    121[.]254[.]168[.]87
www[.]zgon[.]cn                   A    59[.]54[.]54[.]204
www[.]turbytoy[.]com[.]ar         A    190[.]228[.]29[.]84

[*번역자주]

-위 로그를 보시면 한국 도메인도 2개나 나타나 있는 것을 보았습니다. 특히 IP정보까지 직접 나타나 있습니다. 
  관련 사이트 담당자분들은 점검을 해 볼 필요가 있겠습니다. -   


HTTP에 대한 요청은 예를들어 유닉스에 사용자 정의 "오류"값을 토대로 "ID"값을 포함한 예시입니다.


GET /?id=1327014189930&msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20

다른 오류값


msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20
msg=:)
msg=:D
msg=Somos%20Legion!!!
msg=Somos%20legi%C3%B3n!
msg=Stop%20S.O.P.A%20:)%20%E2%99%AB%E2%99%AB HTTP/1.1" 200 99406 "http://pastehtml.com/view/bl7qhhp5c.html"
msg=We%20Are%20Legion!
msg=gh
msg=open%20megaupload
msg=que%20sepan%20los%20nacidos%20y%20los%20que%20van%20a%20nacer%20que%20nacimos%20para%20vencer%20y%20no%20para%20ser%20vencidos
msg=stop%20SOPA!!
msg=We%20are%20Anonymous.%20We%20are%20Legion.%20We%20do%20not%20forgive.%20We%20do%20not%20forget.%20Expect%20us!

"메세지"필드는 임의의 공격자가 설정할 수 있습니다.

2012년 1월20일 기준으로 US-CERT는 포트25, 80에 UDP 패킷으로 구성되어 다른 공격을 관찰했습니다. 예를 들면 패딩의 변수에 다음 메세지를 포함하여 공격합니다.


66:6c:6f:6f:64:00:00:00:00:00:00:00:00:00 | flood.........


3. 솔루션

공격뿐만 아니라 대상 네트워크 인프라 종류에 따라 DDoS 공격과 수용가능한 전략은 여러가지가 있을 수 있습니다. 일반적으로 DDoS 공격에 대한 최상의 방어는 철저한 준비과정을 포함하고 있습니다.

  • 점검이나 DDoS 공격의 경우에 따라야 하는 표준운영절차(SOP)를 개발 할 수있습니다. 점검 또는 SOP에서 중요한 포인트는 ISP와 호스팅 업체의 연락처 정보를 가지고 DDoS 공격동안 연락해야 하는 사람을 파악해야하는 것이죠. 또한 어떠한 식별과 어떤 프로세스가 필요한지 어떻게 해야 하는지에 따른 행동은 공격하는 동안 수반이 됩니다.
  • ISP 또는 호스팅 업체는 DDoS 공격을 방어하는 서비스를 제공할 수 있습니다. 직원들이 귀하의 서비스수준계약 (SLA)의 규정을 인식한지 확인해야 합니다.
  • 방화벽팀, IDS팀, 네트워크팀에 대한 정보를 문의하고 그것이  공격 방어에 쉽게 수행 할 수 있도록 유지 합니다.
  • 공격에 대응하는 것 뿐만 아니라 그들이 최우선 동안 유지되어야 하는 중요한 서비스를 식별하는 것이 더 중요합니다. 서비스는 공격의 효과를 제한 할  필요에 따라 자원이 해제 또는 차단 될수 있는지 확인하기 위해 사전에 우선시 되어야 합니다. 중요한 시스템이 DDoS에 견딜수 있는 충분한 능력이 있는지도 확인합니다.
  • 현재 상태에서 네트워크 다이어그램, IT인프라세부정보, 자산, 재고등을 파악해야 합니다. 공격이 진행이 되면 행동과 우선순위를 결정하는데 도움이 될 것입니다.
  • 현재 환경을 이해하고 네트워크 트랙픽 볼륨의 기준, 유형 및 성능을 가지고 말입니다. 이것은 공격 종류를 식별 할 수있도록 공격시점과 공격벡터로 사용됩니다. 필요한 경우 기존의 병목현상과 보완 작업을 식별 합니다.
  • 일부 서비스 비활성화와 응용프로그램의 비활성화하여 기능을 강화하고 네트워크 구성설정, 운영체제 강화는 의도된 기능을 수행합니다.
  • 같은 방화벽과 같은 stateful 보안장치에 부하를 감소하기 위해 에지 라우팅이 가능한다면 서비스 검사를 할 수있는 직원이 있어야 합니다.
  • 중요한 서비스 분리
    • 공공 및 개인서비스
    • 인트라넷, 익스트라넷 및 인터넷서비스
    • HTTP,FTP 및 DNS와 같은 각 서비스에 대한 단일 목적 서버 만들기
    • US-CERT 사이버 보안팁 이해하기  http://www.us-cert.gov/cas/tips/ST04-015.html


4. 참고문헌


원본 출처: http://www.us-cert.gov/cas/techalerts/TA12-024A.html

번역이 그리 매끄럽지 않아 이상 할 수도 있습니다만 아무튼 그냥 남에게 보여주기식 보다는 제가 공부한다는 자세로 포스팅 해 볼 생각입니다. 혹시 이해가 안되시는 분은 출처를 남겨 놓았으니 영문 원본 출처 사이트를 이용해 주시면 좋겠구요. 덧붙여 매끄럽게 번역이 안되면 지적도 해 주시면 포스팅을 수정해서 놓겠습니다. 전문가는 나이와는 상관이 없는 듯 합니다. 꾸준히 노력 해야 할 뿐이지요. @엔시스.

* 최종수정일 :2012.02.09  10:38:40

 
Posted by 엔시스

디도스는 인터넷에만 있는게 아니라 유선전화도 있다. 세상에는 참 아이러니 한 부분이 많습니다. 이것을 디도스라고 해야 하는지 전화 폭주라고 해야 하는지...그 경계가 모호합니다. 아무튼 악의적인 피해를 입었다고 하면 일종의 '디도스'가 맞겠지요.


                                                          <출처: 동아일보 2011-03-31 A16면 사회기사>

디도스는 인터넷상에 있는 것이 아니라 악의적인 방법을 이용하여 다른 형태로도 번질 우려가 있을 것입니다. 어찌보면 사회공학적 기법일수도 있을듯 한데요. 자신이 악의적인 생각을 가지고 "공짜" 문의 형태로 소문을 알린다면 요즘처럼 SNS가 잘 발달된 상태에서는 금방 퍼질듯 합니다. 다양한 형태의  사기 수법은 점차 지능화 되어가고 제도는 따라가기 힘들고 이런 경우 어떻게 받아 들여야 할까요? 아예 코드를 뽑아 놓는게 좋을까요? 

만약 이것이 개인의 휴대전화 번호를 이용한다면 개인의 스트레스가 이만저만 아닐듯 합니다.  생활에 편리한 디바이스기기 , 인터넷의 악용은 끝이 없을듯 합니다.

여러분들의 생각은 어떠신가요?


* 혹시 노파심에 이러한 글이나 내용 포스팅을 유사범죄로 활용하는 어리석음의 최종은 결국 은팔찌 차는 수밖에 없으니 이상한 생각은 하지 마시길...



Posted by 엔시스

개인정보보호법 제정의 통과(3/9, 3/11) 여부에 귀추가 주목되고 있는 가운데, 3.3 디도스 공격을 또 받아서 정부의 보안에 대한 인식을 일깨워 놓고 있다. 개인정보보호법과 DDoS 재 공격의 교훈을 한번 살펴 보자.


법적인 사각지대를 해소하려면 강제적 법적규제 마련되어야

자발적인 실행이나 실천이 이루어지지 않을시에는 강제적 규제를 강화하는 것이 국익을 위하여 바람직하다면 택해야 하는 것이다. 개인정보보법이 국회에서 잠자고 있는 사이에 국가 주요사이트가 디도스 공격에 일시 접속이 지연되는 사태가 재발이 되었다. 디도스 공격은 언제든지 재발 가능성이 있고, 우선 웹서버에 접속을 못하게 함으로 인하여 보안의 3요소중 가용성을 떨어뜨리는 아주 대표적인 공격방법이다.

이러한 가운데에서 지난 7.7 DDoS공격으로 인하여 장비를 구매해야 한다고 긴급 예산 200억을 편성하여 장비 구매에만 신경을 쓰게 되었지만 또 다시 디도스 공격에 당할수 밖에 없었다.

2009/07/15 - [Security Skill&Trend] - 7.7 DDoS 마스터 서버 및 좀비PC 갯수
2009/07/19 - [Lecture&Comlumn] - [칼럼-88] 7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?
2009/07/19 - [Lecture&Comlumn] - [칼럼-89] 7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS
2009/07/20 - [Lecture&Comlumn] - [칼럼-90] 7.7 DDoS 사태가 남겨 준 교훈(3) - 보안인식 제고를 위한 제언
2009/09/16 - [Lecture&Comlumn] - [기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수


혹자는 보안에 대하여 조금이라도 알고 있으면 디도스 공격을 방어하기란 그리 말처럼 쉽지 않다는 사실을 알게 된다,.이러한 한꺼번에 많은 트래픽이나 요즘은 적은 트래픽이라도 리소스 고갈을 시키키위하여 지속적으로 보내어 결국 서버에서 다운이 되는 CC 공격등..쉽게 방어 할 수있는 문제는 아니다.

지난 디도스 BMT를 해 보았을때에도 디도스 장비만 있다고 해서 모든 디도스를 막을 수 있다는 것은 오해일수도 있다. 여러가지 서비스를 잘 유지할 수 있는 다양한 장비를 구비하고 방어를 해야만 가능하기 때문이다.

2009/04/02 - [Security Solution] - DDoS 공격 억제 솔루션, BMT중에 있습니다.


이러한 디도스에 동원되는 좀비PC는 어떠한 형태로 감염이 되었는지 모른다. 일부 DDoS에 동원이 되었다고는 하지만 자신이 가지고 있는 개인정보가 유출이 되었는지 않되었는지도 파악이 되지 않는 것이다. 그런 측면에서 볼때 DDoS를 피해를 줄이고자하는 것은 공격을 받아 방어를 위한 장비를 증대 하는것 보다는 그 원천적인 근원을 캐서 수정하고 고치는 것이 바람직 한 것이라 생각을 한다.


이번 DDoS 공격이 어쩌면 개인정보보호법 제정에 불씨를 지필지도

3월에 개인정보보호법 통과를 앞두고 관련 업계 및 기관과 정부에서 귀추가 주목되고 있다. 아직도 보안에 대한 위험의 인식을 느끼지 못한다면 도대체 몇번이나 더 당해야만 알수 있는가의 의구심을 품을 수도 있다. 어쩌면 이번 DDoS 공격은 법제정을 위한 적절한 시기에 타이밍을 맞춘거 같기도 하다는 느낌이 든다. 이번에도 법이 그대로 표류 할 수 밖에 없다고 한다면 결국 대한민국의 보안은 후진국수준에 머물러 있을 수 밖에 없다. 또한 그동안 관련 기관과 업계에서 준비했던 부분이 모두 허사로 돌아가게 되고, 앞으로 개인정보 유출로 인한 제2, 제3의 피해가 나타날 것이고, 이것은 보이스피싱과 SNS와 결합하여 점점 더 사람중심이 아닌 사이버중심의 세계로 빠져들어 더 이상 개인의 사생활 보호가 어려워 질 것이다. 그렇다고 해서 인터넷을 사용하지 않을 수도 없는 노릇이 아닌가? 엑티브 엑스 그렇고 욕을 하고도 인터넷뱅킹 사용하려니 사용할 수밖에 없지 않는가? 이제는 더 이상 디도스공격이나 개인정보유출로 인하여 같은 이야기를 반복하게 만들면 안될 것이다.



일부 언론에는 지난번 대응에 대한 학습때문에 그나마 미미한 수준에 머물렀다고는 하지만 이제 디도스에 대한 공격 트래픽은 이미 수백기가를 넘어서 공격하고 있고, 또 다양한 기술로 공격해 오고 있기에 언제어떻게 국가 기간망이나 전산망이 공격을 받을지 모른다. 부디 영화 다이하드4의 재현이 현실로 나타나지 않기를 바랄뿐이다.  @엔시스.

Posted by 엔시스

디도스 공격 툴중에 가장 많이 사용된다는 툴입니다.  아무래도 이제는 인터넷에서 구매까지 할수 있게 되다보니 공격이 더 많아 질수 있겠습니다..

이미지 출처는 네이버 검색 하였습니다.  어리석은 장난으로 디도스 공격 하지 마시기 바랍니다. 네트워크 방해와 서비스를 방해하는 것도 범죄라는 사실을 아셔야 합니다..


<사진을 클릭하시면 자세히 보입니다.>
Posted by 엔시스