보안이라는 분야는 참 넓고 다양합니다. 흔히 기술적,관리적,물리적이라는 단어는 참 다양하고 넓게 쓰이는듯 합니다. 지금까지 관리적 부분에 많은 할애를 하였는데, 올해부터 영어공부를 목표 중에 하나로 넣었습니다. 따라서 발번역이 될텐데요. 동기부여 차원에서 기술적 부문의 해외 사이트 번역을  해 보려고 합니다. 그러면 기술적 지식공유도, 그리고 번역공부도 될듯해서 말이죠.. 아무튼 달려 봅니다. 오늘은 첫 제목이 "anonymous DDoS 활동" 정도 되겠네요.

1. 개요.

US-CERT는 공공기관과 민간 기업 웹사이트로부터 분산서비스거부공격 (DDoS) 의 대상이 되는 다양한 공격 정보를 받게 됩니다. 어나니머스가 공격하는 집단은 파일호스팅, 사이트 메가 업로드의 종료에 대한 응답과 저작권으로 지적 재산권 및 위조 상품(온라인불법 복제법, SOPA,PIPA)에 실시간 온라인 위협을 가합니다.

2.  설명

US-CERT는 두종류의 DDoS 공격을 증명합니다. : 하나는 HTTP GET reguest 이고, 하나는 단순한 udp flood 입니다.

The Low Orbit Ion Cannon (LOIC) 는 (루이) 어나니머스 활동과 관련된 서비스거부 공격 도구입니다. US-CERT는 적어도 2개의 구현을 검토하였습니다. 한개는 자바스크립트로 작성되었으며 웹브라우져에서 사용토록 설계되었습니다. 공격자는 웹사이트에서 루이 변종에 액세스하여 목표를 선택하고 선택적인 메세지, 공격트래픽 및 공격 모니터 공격 진행을 지정 할 수 있습니다. 루이의 바이너리 변종 노드 IRC 또는 RSS 명령 채널(이하 HiveMind")를 통해 제어 할 수 있도록 봇넷에 참여 하는 능력을 가집니다.



툴 사진은 여기

LOIC 서버 로그를 보면 다음과 같습니다.


"GET /?id=1327014400570&msg=We%20Are%20Legion! HTTP/1.1" 200 99406 "hxxp://pastehtml.com/view/blafp1ly1.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

다음 사이트는 루이 트래픽이 HTTP로그 에서 확인이 되었습니다. 완전하지 않지만 그들은 아직도 루이 또는 기타 악성코드가 작동 하여 호스팅 할 수 있으므로 다음 링크는 방문하지 않는 것이 좋겠습니다.

"hxxp://3g.bamatea.com/loic.html"
"hxxp://anonymouse.org/cgi-bin/anon-www.cgi/"
"hxxp://chatimpacto.org/Loic/"
"hxxp://cybercrime.hostzi.com/Ym90bmV0/loic/"
"hxxp://event.seeho.co.kr/loic.html"
"hxxp://pastehtml.com/view/bl3weewxq.html"
"hxxp://pastehtml.com/view/bl7qhhp5c.html"
"hxxp://pastehtml.com/view/blafp1ly1.html"
"hxxp://pastehtml.com/view/blakyjwbi.html"
"hxxp://pastehtml.com/view/blal5t64j.html"
"hxxp://pastehtml.com/view/blaoyp0qs.html"
"hxxp://www.lcnongjipeijian.com/loic.html"
"hxxp://www.rotterproxy.info/browse.php/704521df/ccc21Oi8/vY3liZXJ/jcmltZS5/ob3N0emk/uY29tL1l/tOTBibVY/wL2xvaWM/v/b5/fnorefer"
"hxxp://www.tandycollection.co.kr/loic.html"
"hxxp://www.zgon.cn/loic.html"
"hxxp://zgon.cn/loic.html"
"hxxp://www.turbytoy.com.ar/admin/archivos/hive.html"


아래는 2012년 1월20일 로그입니다.


3g[.]bamatea[.]com                A    218[.]5[.]113[.]218
cybercrime[.]hostzi[.]com         A    31[.]170[.]161[.]36
event[.]seeho[.]co[.]kr           A    210[.]207[.]87[.]195
chatimpacto[.]org                 A    66[.]96[.]160[.]151  
anonymouse[.]org                  A    193[.]200[.]150[.]125
pastehtml[.]com                   A    88[.]90[.]29[.]58
lcnongjipeijian[.]com             A    49[.]247[.]252[.]105
www[.]rotterproxy[.]info          A    208[.]94[.]245[.]131
www[.]tandycollection[.]co[.]kr   A    121[.]254[.]168[.]87
www[.]zgon[.]cn                   A    59[.]54[.]54[.]204
www[.]turbytoy[.]com[.]ar         A    190[.]228[.]29[.]84

[*번역자주]

-위 로그를 보시면 한국 도메인도 2개나 나타나 있는 것을 보았습니다. 특히 IP정보까지 직접 나타나 있습니다. 
  관련 사이트 담당자분들은 점검을 해 볼 필요가 있겠습니다. -   


HTTP에 대한 요청은 예를들어 유닉스에 사용자 정의 "오류"값을 토대로 "ID"값을 포함한 예시입니다.


GET /?id=1327014189930&msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20

다른 오류값


msg=%C2%A1%C2%A1NO%20NOS%20GUSTA%20LA%20
msg=:)
msg=:D
msg=Somos%20Legion!!!
msg=Somos%20legi%C3%B3n!
msg=Stop%20S.O.P.A%20:)%20%E2%99%AB%E2%99%AB HTTP/1.1" 200 99406 "http://pastehtml.com/view/bl7qhhp5c.html"
msg=We%20Are%20Legion!
msg=gh
msg=open%20megaupload
msg=que%20sepan%20los%20nacidos%20y%20los%20que%20van%20a%20nacer%20que%20nacimos%20para%20vencer%20y%20no%20para%20ser%20vencidos
msg=stop%20SOPA!!
msg=We%20are%20Anonymous.%20We%20are%20Legion.%20We%20do%20not%20forgive.%20We%20do%20not%20forget.%20Expect%20us!

"메세지"필드는 임의의 공격자가 설정할 수 있습니다.

2012년 1월20일 기준으로 US-CERT는 포트25, 80에 UDP 패킷으로 구성되어 다른 공격을 관찰했습니다. 예를 들면 패딩의 변수에 다음 메세지를 포함하여 공격합니다.


66:6c:6f:6f:64:00:00:00:00:00:00:00:00:00 | flood.........


3. 솔루션

공격뿐만 아니라 대상 네트워크 인프라 종류에 따라 DDoS 공격과 수용가능한 전략은 여러가지가 있을 수 있습니다. 일반적으로 DDoS 공격에 대한 최상의 방어는 철저한 준비과정을 포함하고 있습니다.

  • 점검이나 DDoS 공격의 경우에 따라야 하는 표준운영절차(SOP)를 개발 할 수있습니다. 점검 또는 SOP에서 중요한 포인트는 ISP와 호스팅 업체의 연락처 정보를 가지고 DDoS 공격동안 연락해야 하는 사람을 파악해야하는 것이죠. 또한 어떠한 식별과 어떤 프로세스가 필요한지 어떻게 해야 하는지에 따른 행동은 공격하는 동안 수반이 됩니다.
  • ISP 또는 호스팅 업체는 DDoS 공격을 방어하는 서비스를 제공할 수 있습니다. 직원들이 귀하의 서비스수준계약 (SLA)의 규정을 인식한지 확인해야 합니다.
  • 방화벽팀, IDS팀, 네트워크팀에 대한 정보를 문의하고 그것이  공격 방어에 쉽게 수행 할 수 있도록 유지 합니다.
  • 공격에 대응하는 것 뿐만 아니라 그들이 최우선 동안 유지되어야 하는 중요한 서비스를 식별하는 것이 더 중요합니다. 서비스는 공격의 효과를 제한 할  필요에 따라 자원이 해제 또는 차단 될수 있는지 확인하기 위해 사전에 우선시 되어야 합니다. 중요한 시스템이 DDoS에 견딜수 있는 충분한 능력이 있는지도 확인합니다.
  • 현재 상태에서 네트워크 다이어그램, IT인프라세부정보, 자산, 재고등을 파악해야 합니다. 공격이 진행이 되면 행동과 우선순위를 결정하는데 도움이 될 것입니다.
  • 현재 환경을 이해하고 네트워크 트랙픽 볼륨의 기준, 유형 및 성능을 가지고 말입니다. 이것은 공격 종류를 식별 할 수있도록 공격시점과 공격벡터로 사용됩니다. 필요한 경우 기존의 병목현상과 보완 작업을 식별 합니다.
  • 일부 서비스 비활성화와 응용프로그램의 비활성화하여 기능을 강화하고 네트워크 구성설정, 운영체제 강화는 의도된 기능을 수행합니다.
  • 같은 방화벽과 같은 stateful 보안장치에 부하를 감소하기 위해 에지 라우팅이 가능한다면 서비스 검사를 할 수있는 직원이 있어야 합니다.
  • 중요한 서비스 분리
    • 공공 및 개인서비스
    • 인트라넷, 익스트라넷 및 인터넷서비스
    • HTTP,FTP 및 DNS와 같은 각 서비스에 대한 단일 목적 서버 만들기
    • US-CERT 사이버 보안팁 이해하기  http://www.us-cert.gov/cas/tips/ST04-015.html


4. 참고문헌


원본 출처: http://www.us-cert.gov/cas/techalerts/TA12-024A.html

번역이 그리 매끄럽지 않아 이상 할 수도 있습니다만 아무튼 그냥 남에게 보여주기식 보다는 제가 공부한다는 자세로 포스팅 해 볼 생각입니다. 혹시 이해가 안되시는 분은 출처를 남겨 놓았으니 영문 원본 출처 사이트를 이용해 주시면 좋겠구요. 덧붙여 매끄럽게 번역이 안되면 지적도 해 주시면 포스팅을 수정해서 놓겠습니다. 전문가는 나이와는 상관이 없는 듯 합니다. 꾸준히 노력 해야 할 뿐이지요. @엔시스.

* 최종수정일 :2012.02.09  10:38:40

 
Posted by 엔시스

한국 정보보호진흥원 산하 침해사고대응센터(KRcert)와 공조 체제로 있는 Bkis의 블로그에서 마스터 서버와 좀비 CP 갯수를 밝히고 있습니다.


여러나라에서 좀비 PC가 있었고 74개국에 166,908개 감염 PC가 있었다고 이야기 하고 있습니다..
                                      

 No

COUNTRY

1

Korea, Republic of

2

United States

3

China

4

Japan

5

Canada

6

Australia

7

Philippines

8

New Zealand

9

United Kingdom

  10

Vietnam


보다 자세한 내용은      http://blog.bkis.com/?p=718 참조 하기 바랍니다.


Posted by 엔시스

최근 서비스 거부공격(DOS)이라고 하여 서비스 가용성을 떨어뜨려 안정적인 서비스를 하지 못하게 하는 공격기술이다. 하지만 최근에 분산서비스거부공격 (DDoS)이라 하여 서비스 거부 공격을 분산하여 공격하는 기술인데 최근에 많은 이슈가 되고 있다.  국가공인 정보보호전문가 자격증 모임 (http://cafe.naver.com/nsis) 카페에 이러한 공격대응 시스템 특징을 비교하는 자료가 올라와 여러분들과 같이 공유 하고자 한다. 그리고 최근 DDoS 공격에 대하여 한번 정리해 보기로 한다.

1. 왜 DDoS 공격이 무서운가?

우선 분산서비스거부공격을 받게 되면 해당 웹싸이트가 다운이 되는데 있다. 그것은 일반적으로 당하는 해킹에 비해 외부에 손쉽게 알려지기 때문이다. 예를 들어 유명한 포털싸이트가 분산서비스 거부 공격을 받고 있다면 당장 사용자로 하여금 사용할수 없게 하기 때문에 쉽게 공격을 당하고 있다는 사실을 알수가 있다.

반면에 일반적인 해킹 공격의 경우, 해킹을 당하더라도 메인페이지가 변조되거나 아주 공격적인 성향의 공격이 아닌 경우에는 외부에 잘 드러나지 않는다. 따라서 해당 해킹당한 업체에서도 이미지에 타격이 덜가게 되는것이다.  지금까지 분산서비스거부 공격을 당한 웹싸이트는 바로 다운이 되어 버렸다.

2. DDoS 공격을 당하면 어떤 증상이 있는가?

우선 웹싸이트가 느려지고 서버 관리자의 경우 원격 접속 로그인이 잘 되지를 않는다. 그럴떄 가장 많이 사용하는 방법이 내 서버가 제대로 동작하는지 않하는지 네트워크는 살아 있는지를 확인 하는 가장 쉬운 방법이 핑(ping) 테스트 하는 방법인데 대부분 이럴때 네트워크는 살아 있고 웹싸이트는 다운 되어진다. 

마찬가지로 해당 서버에 콘솔로 로그인 하여 핑테스트를 해 보아도 마찬가지 경우이다. 물론 트래픽이 너무 많이 들어올땐 그렇지 않은 경우도 있다.

3. DDoS 공격은 어떻게 이루어지는가?

보통 분산서비스 거부 공격은 두가지가 있는데 하나는 과도한 트래픽을 공격하고자 하는 타켓 서버에 보내어 아예 서비스를 할수 없게 하는 공격이고, 다른하나는 공격하고자 하는 서버에 특정 자원을 소모하게 하여 시스템 자체가 자원을 소모하여 서비스 할수 없게 하는 방법이 있다. 처음에는 분산서비스거부 공격의 경우 과도한 트래픽을 보내 서비스를 못하게 하였지만 최근에는 자원을 소모하여 서버를 다운시키는 공격도 이루어지고 있어 많은 시스템 관리자들을 어렵게 만들고 있다.

자세한 공격방법은 첨부한 자료를 보면 자세히 나와 있다.

4.  DDoS 공격은 왜 막기 어려운가?

우선 분산 서비스거부 공격은 과도한 트래픽으로 하여 공격을 할때 공격지 IP가 스푸핑 되어 공격을 하기 때문에 그 많은 IP를 차단하기 어렵다. 또한 최근에는 공격 방법이 진화를 하여 공격하는 네트워크 패킷을 암호화하여 공격 하기 때문에 스니퍼등으로 네트워크 패킷을 본다 하여도 이것이 정상적인 패킷인지 아닌지를 판단하기가 쉽지 않다.


5. DDoS 공격 대비를 위한 대응 한계는 무엇인가?

최근 이러한 분산서비스거부 공격이 하나의 이슈가 되고 있기 때문에 많은 글로벌 업체에서 안티 DDoS 솔루션을 선 보이고 있다.  이러한 솔루션의 경우 전용 DDoS 공격 방어 솔루션이 있는가 하면 IPS에서 진화하여 솔루션에 DDoS를 방어 할수 있는 메카니즘을 약간 추가 한경우도 있다. 그렇다 보니 여러가지 선택에 있어서 주의 깊게 봐야 한다.  특히 처음 출시 되었을때 기가급 장비가 주로 많은데 이러한 경우 최대 대역폭이 1G 이내의 트래픽에 한하여 방어를 하다보니 그 이상 공격이 들어 올때에는 안티 DDoS 장비도 무용지물이 되는 한계를 지닌다.  10G,30G 존(zone)을 만들어 서비스도 한다고 하는데 아무튼 이러한 한계점이 있다.

그리고 장비 가격이 만만치 않다. 일반적으로 주로 타겟이 되는 곳이 P2P, 쇼핑몰, 게임, 등등의 싸이트인데 이러한 고가 장비를 도입하기엔 망설일수 밖에 없다. 각 장비에 따라 약간의 특성이 있긴 하지만 안티 DDoS 장비는 보안솔루션 장비보다는 QoS 장비에 가깝다는 것을 인지를 해야하고 해당 관리자는 또 다른 추가 장비를 관리해야 한다는 점이다.


6. 결론

분사서비스거부공격(DDoS) 공격은 일명 '사이버 조폭' 이나 '사이버 깡패' 라고 불리우는데 그 공격이 상당히 위협적이고 해당 공격 싸이트에 피해는 눈에 바로 나타나기 때문에 대단히 위험한 공격이다. 또한 공격할수 있는 툴(도구)이 인터넷 상에서 버젓이 판매가 되고 공격하는 방법도 동영상으로 돌아다니고 있어 주의를 하지 않을수 없다.,

특히 공공기관이나 금융 싸이트에 대해서는 이러한 공격에 대비하여 만반의 준비를 해야 한다. 그냥 어영부영하다가 증권싸이트나 금융싸이트가 다운되는 일이 발생하면 곧바로 금전과 관계되는 일이라서 해당 기관의 이미지와 신뢰도는 떨어 질수 밖에 없다. 

 


덧글.

혹시 내용이 부족한 부분이나 잘못된 부분이 있다면 댓글을 달아 주시면 되겠습니다...

덧글.
관련 기관 첨부파일 삭제 요청으로 첨부 파일은 삭제 조치합니다.




Posted by 엔시스

 최근에 이슈가 되고 있는 DDoS에 대한 공격 사례를 분석한 자료를 KISA에서 제공하고 있다. DDoS란 분산서비스거부 공격으로 한꺼번에 많은 트래픽을 공격 하고자 하는 서버로 보냄으로 인하여 정상적인 서비스를 하지 못하게 하는 것이다.


조금 더 쉽게 설명해 보자면  고속도로에 8차선 구간이 있는데 병목 구간인 4차선으로 되어 있을때 차가 갑자기 몰려 오면 도로에 주자장이 되듯이 네트워크 대역폭을 모두 소진함으로 인하여 공격하고자 하는 서버 뿐만 아니라 전체 네트워크(백본)에도 영향을 끼칠수 있으므로 상당히 위협적인 공격 방식이다,

주로 중국에서 금전적인 요구를 하기 위해 최근에 많이 사용하고 있으며 아주 지능적으로 피해다니면서 공격을 한다.

DDoS 공격을 받으면 위협적인 것중에 하나가 공격을 하여 들어 오는 IP들이 전부 스푸핑(위장된)이 된 IP들이고 이것은 아주 작은 패킷들이 한꺼번에 밀려 오기 때문에 여러가지 네트워크 구간에 위협을 주고 있다.


DDoS 공격은 계속 이루어 질것인가?

2008년에도 DDoS 공격은 지속적으로 발생하리라 생각한다. 그것은 일반 PC의 컴퓨팅 파워가 높아지고 초고속 인터넷의 속도가 높아짐에 따라 공격하고자 하는 대상의 최적의 환경을 제공하고 있기 때문이다. 이것은 외국의 해커들의 좋은 먹이감임에는 틀림없는 사실이다..

DDoS 공격에 대응 할수 있는 방안은 없는지 살펴보자

1. 우선 좀비 PC로 사용되는 PC의 보안패치를 최신으로 유지하자.
-하지만 보안적 마인드가 되어 있지 않은 일반 사용자들을 일일이 설득하기엔 무리가 있어 보다 적극적인 NAC(Network Access Control)솔루션을 구축하여야 한다.
-강제적 접근제어를 이용하여 최신 패치가 안된 PC는 네트워크에 접속을 제한하기 위한 솔루션이다.

2. ISP업체나 IDC와 유기적인 협조가 있어야 한다.
-보통 일반 좀비 PC를 이용하여 서버를 공격하는 경우가 많으므로 ISP와 IDC에 협력이 필요하다.

3. DDoS  공격을 조정하는  공격자를 찾아내는 역추적 기술이 필요하다.
 - 실제 공격이 이루어지고 있는 좀비PC를 빨리 찾아내어 그 좀비 PC 를 조종하고 있는 공격자를 빠르게 찾아내는 기술이 필요하다.  최근에는 역추적 기술이 연구되고 있으나  전세계 네트워크를 대상으로 한다는 점에서 아직까지 상용적인 단계에는 힘든 경우가 많다..많은 연구가 이루어져야 할 것이다.


마치며

필자는 서비스거부 공격을 실제 여러번 경험을 하였는데 가장 안타까운 마음은 그렇게 보안 패치를 하라고 하여도 안하는 사람들이 많다는 사실이다...자신의 PC에 하나 못해 기본적인 이름과 메일주소..심지어 위 기술문서에서 나오는 에이젼트 같은 경우 자신의 PC 화면 캡쳐까지 된다고 하니  얼마나 무서운지를 모르는 것이다.

자신의 PC를 남들이 훤히 들여다 보고 캡쳐까지 한다고 하면 패치나 보안 마인드를 안가질수가 없는데도 그건 남의 일이라 생각하는 자세에서 부터 나온다..정말 안타깝기 그지 없다..무엇 보다 국민 각자가 자신의 PC가 패치는 잘 되어 있는지..무슨 다른 이상한 낌새는 없는지를 항상 체크하고 생활화하는 습관이 무엇보다 중요하다,.@엔시스,

2007/11/20 - [보안관련 동영상] - DDOS 공격 차단 가능한가!
2007/11/01 - [보안기술&트렌드] - DDoS공격용 Virut 치료방법안내
2007/10/02 - [보안기술&트렌드] - DDoS 공격에 대한 방어 방법은 없는가?
2007/04/16 - [보안기술&트렌드] - DDoS 공격 방어 어떻게 하십니까?



Posted by 엔시스