근 3일 DDoS공격이 동시다발적으로 일어나고 있는 상황입니다.
공격 명령을 내리는 C&C서버를 찾기위한 ip추적도 불가.
whois까지 접속불가로 만들어 아이피추적을 피하는 치밀함을 보여주고있습니다.
현재 대략 4만 5천대의 pc가 ddos공격을 시도하는 좀비pc로 밝혀지고있다고합니다.
꾸준한 보안패치와 백신검사로 관리를 잘해오셨던 분이라면 문제가 없겠지만
좀비pc들이 문제라는데.. 대부분 아무런 문제없이 느끼시면서 사용하시고 계실지모르나, 만약 자신의컴이 좀비pc라고 생각한다면 정말 열받겠지요...
우선 봇의 특성을 살펴봅시다. DDOS 공격 봇의 특성입니다.
[악성코드 감염 PC 증상]
o 윈도우 서비스 형태로 등록되어 컴퓨터 시작과 함께 자동으로 실행됨
o 방화벽 설정 비활성화
o 다수의 특정 도메인을 대상으로 HTTP / UDP / ICMP Ping 패킷을 지속적으로 전송
- 악성코드의 명령제어(C&C) 서버 접속 없이 악성코드 감염 시 생성된 공격 대상 도메인 목록 파일을 기반으로 자동 공격
- 각 도메인으로 향하는 공격 트래픽은 1.0 ~ 25.3 KBPS 수준임 (분당 트래픽으로 환산하면 57.2 KB ~ 1.5 MB)
- 하나의 감염 PC에서 발생시키는 총 트래픽은 54.2 KBPS로 해당 PC에 큰 무리를 주지 않음 (분당 약 3.3 MB)
- HTTP GET Flooding으로 발생하는 트래픽의 비율이 전체 공격 트래픽의 92.4%로 대부분을 차지하는 반면 UDP와
ICMP Ping 트래픽은 약 4%에 해당함
[피해 사이트에서 관찰되는 증상]
o HTTP 헤더의 User-Agent 항목을 다음과 같이 서로 다른 5가지의 유형으로 변경해가면서 지속적으로 요청을 수행
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; .NET CLR 2.0.50727;
.NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
- User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6;
.NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
- User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20)
Gecko/20081217 Firefox/2.0.0.20 (.NET CLR 3.5.30729)
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2;
MAXTHON 2.0)
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6;
.NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
o HTTP GET 수신과 더불어 UDP 80번 포트로 유입되는 트래픽 및 ICMP Ping 수신이 꾸준하게 관찰됨
-------------------------------------------------------------------------------------
진단 및 치료
보호나라에서 자신의 pc가 한국정보보호 진흥원의 봇감염 pc ip 목록에 포함되어있는지 ip로 조회할수있더군요.
그러나 우선 순전히 감염된것으로 추정된pc의 ip 수집 목록에 있는지만 나오는것이니 보안 업데이트와, 백신을통한 검사를 해보시는게 좋을듯합니다.
ip검사 보호나라 링크 입니다.