2009. 7. 10. 08:30, 뒤죽박죽 얼씨구 좋구나
드디어 DDoS 서버 추적해서 찾아 냈다고 합니다. 북한이 배후했다는 이야기도 있었는데 사실이 아닌 것 같습니다. 결국 미국 IP로 확인 되었네요. 해결의 실마리를 찾은 듯 합니다.
그리고 방송통신위원회와 한국정보보호진흥원(KISA)은 악성코드 분석결과
DDoS에 감염된 악성 코드가 좀비PC들의 하드디스크 삭제를 유발할 수 있는 것으로 분석했습니다.
이에 국가정보원 국가사이버안전센터는 긴급 대응요령을 아래와 같은 취할 것을 공지했습니다.
[대응요령]
1. PC를 켤 때 전원 스위치를 누르자마자 F8번 키를 여러 번 눌러서 안전모드로 부팅한다.
2. 안전모드 부팅 후에는 컴퓨터에 설정된 날짜를 7월 10일 이전으로 날짜로 되돌려야 한다.
3. PC를 재부팅한 후 최신 백신으로 점검과 치료를 수행해야 피해를 막을 수 있다.
[DDos전용 백신 다운로드 사이트]
- - 안철수연구소전용백신
- - 하우리 전용백신
- - 바이러스체이서 전용백신
- - 알약 전용백신
- - 네이버 PC그린 전용백신
- - 잉카인터넷 전용백신
- - 와우해커
아마도 위 사이트가 접속자 폭주로 접근이 용이하지 않을 것 같아서 '안철수연구소 전용백신'파일을 올려 놓습니다.
v3filecleanex.exe
14시간 추적 "IP 찾았다"
쉬프트웍스, 악성코드 밤샘 분석
파일에 '독립기념일 기리며' 문구
"서버에 접속해서 받아오는 원소스 파일 찾았고 패킹(암호화) 풀어야 함."(새벽 2시7분)
"아 우리가 발견한 데가 공격자 맞는 듯.내 PC 이상해졌음."(새벽 2시10분)
"끝까지 왔음.보고서 작성 완료."(9일 새벽 5시35분)
드라마처럼 펼쳐진 9일 새벽,기자 휴대폰에 남겨진 문자메시지들이다. '해킹 대란'을 일으킨 악성코드를 분석한 홍민표 쉬프트웍스 대표(31)와 이대로 연구원(23)은 지난 8일 오전 11시부터 꼬박 14시간 동안 악성코드에 매달렸다. 서버에 접속한 경로를 기록으로 남기기 위해 분석을 끝낸 뒤에도 쉽게 잠들 수 없었다. 대규모 DDoS 공격의 심각성을 알아챘기 때문이다.
이들은 "처음에 777 DDoS 대란을 일으킨 악성코드 파일 중 msiexec1.exe, perfvwr.dll, wmiconf.dll, msiexe2.exe 등 4개를 입수해 본격적으로 분석을 시작했다"며 "실제로 C&C(Control & Command)하는 서버의 주소가 무엇이고 어떤 식으로 서버에서부터 악성코드가 다운로드되는지에 초점을 맞췄다"고 말했다.
그렇게 밝혀낸 결과 악성코드 유포 서버의 인터넷 주소(75.151.XXX.XXX)가 드러났다. 홍 대표는 "악성코드가 유포되는 흐름을 따라 들어갔더니 영문 윈도 서버 2000이 깔려 있는 미국 인터넷주소의 가상서버였다"며 "그 프로그램 내용을 바꾸거나 해당 IP를 국내에서 차단하면 더 이상의 악성코드 유포는 막을 수 있다"고 했다. 이미 그 서버에 접속해 좀비PC가 된 경우에는 예정된 대로 3차 해킹공격에 이용당하지만 앞으로의 피해는 줄일 수 있다는 얘기다. 공격자가 누구인지에 대해선 "누군진 알 수 없지만 서버를 찾기 까다롭게 해놓고 서버에 접속한 로그기록을 전부 지운 걸 보면 아주 수준급의 실력자일 것"이라고 했다.
해당 IP의 주소가 미국 뉴저지주 마운트 로렐시라는 걸 알아낸 건 9일 오후 5시께다. 홍 대표는 "새벽엔 미국이라는 것만 확인했고 오후에 다시 찾아보니 뉴저지주 마운트 로렐이더라"고 말했다.
이들 분석에 따르면 악성코드의 파일 안에는 '독립기념일을 기리며(Memory of the Independence Day)'라는 문구가 명확히 담겨 있었다. 악성코드가 유포되는 경로에 대해선 감염 사이트에서 자동으로 다운로드되거나 'Memory of the Independence Day'라는 제목의 영문메일을 열어보는 경우 등이다. 홍 대표는 "무엇보다 이미 악성코드에 감염된 PC 사용자들이 빨리 삭제프로그램으로 지워야 한다"며 "MS 윈도 취약점을 이용한 제로데이 공격인 만큼 윈도 패치가 빨리 나오는 것도 중요하다"고 지적했다. 삭제 프로그램은 와우해커(www.wowhacker.com) 안철수연구소(kr.ahnlab.com) 등에서 무료로 내려받을 수 있다.
주요 내용 정리
- 이번에 발표된 DDoS공격 서버가 프록시서버일 가능성 많다는 점
- 따라서 유포사이트의 IP를 근거로 배후 세력 추정은 섣부른 판단
- 모든 해커가 나쁜 것 만 아니다.....'화이트해커'에 대한 설명
화이트해커가 본 디도스(DDoS) 공격
“16개국 IP주소는 프록시서버 가능성”
가상 서버인 프록시 서버를 제공하는 기관이나 업체, 개인은 보통 주기적으로 IP를 변경하기 때문에 유포사이트의 IP를 근거로 배후세력을 추정하는 것은 근거가 부족한 섣부른 판단이라는 설명이다.
스스로를 새로운 보안취약점을 연구해 해킹방어전략을 구상하는 ’화이트해커’
--화이트해커의 역할이 무엇인가.
▲새로운 보안취약점을 연구해서 국가기관과 업체들에 알려준다. 방어전략도 구상한다. 일반 해커와 구분해야 한다. 사이트를 공격하는 해커는 화이트해커가 만든 기술이나 발견한 취약점을 이용하는 소위 ’스크립트 키드’이다. 그래서 화이트해커는 새로 발견한 취약점을 일반적으로 공개하지 않는다. 윤리의식을 중시하는 화이트해커의 양성이 중요한 만큼 해킹기술을 연구한다고 무조건 안 좋게 바라보는 시선은 개선됐으면 한다. 특히 화이트해커 대다수가 일하는 보안업계의 성장이 필요하다.
'뒤죽박죽 얼씨구 좋구나' 카테고리의 다른 글
| 명품의 반란 (6) | 2009.07.17 |
|---|---|
| 자동차 공매 낙찰 결과(서울) (0) | 2009.07.15 |
| YF쏘나타 출시-마케팅 전략 (2) | 2009.07.14 |
| 정말 두려운 것은.. (6) | 2009.07.10 |
| DDoS 해킹 대란 - 블로그 하지 마라 (14) | 2009.07.09 |
| 나는 알고 있다. '사다함의 매화'이 무엇인지! (8) | 2009.07.07 |
| 휴면계좌 돈 4천억원 중 당신 돈 찾아보자 (10) | 2009.07.06 |
| 자동차 공동구매 사이트 (8) | 2009.07.06 |
Comments, Trackbacks
