7월 7일 오후 6시 50분에 청와대ㆍ국방부, 백악관 등 한ㆍ미 주요 인터넷 사이트(26개)에 대한 대규모 디도스(DDoS:분산서비스거부) 공격시도를 탐지, 긴급 차단하는 한편 국내외 유관기관과 함께 비상대응체제를 가동하고 있다고 8일 밝혔다.
악성 프로그램에는 공격할 대상 26개 기관의 IP가 내포돼 있었고 과도한 트래픽을 유발하는 특징이 있었다.
접속이 안되는 상황이며 백악관은 이를 감지하고 임시방책으로 한국IP대역을 모두 차단시켰다.
DDos 사이버테러가 발생하고 국내 백신 기업인 안철수연구소에서 전용백신을 제작 개인사용자는 물론 기업 등 모든 사용자들에게 무료로 제공중이다.
현재 이스트소프트 알약(http://alyac.altools.co.kr/)과
안철수연구소 접속폭주로 인해 서버접속이 지연되는 상황이다.
그러던 중 이스트소프트 홈페이지가 DDos에 공격당했다고 기사가 떴다. 그래서 현재 이스트소프트 홈페이지가 접속이 안되는 상황이며, 안철수연구소도 현재 접속이 잘 안되는 상황이며, 공격당했는지 여부는 아직 불투명하다.
더불어 현재 DDos공격에 배후를 찾는데 최선을 다하고 있다.
DDos공격
금융 사이트에 대한 접속 장애 발생
설명 :
□ 악성코드 특성
o 윈도우 서비스 형태로 등록되어 컴퓨터 시작과 함께 자동으로 실행됨
o 악성코드 제어 서버(C&C) 접속 없이 악성코드 감염 시 생성된 공격 목표 리스트
파일정보를 기반으로 자동 공격
o 공격 목표에 대해서 TCP, UDP 형태의 대량 트래픽 전송
해결책 :
□ 인터넷 이용자
o 악성코드 감염으로 인한 피해를 입지 않도록 MS 윈도우, 백신프로그램 등의 최신
보안업데이트 적용 유지
o 출처가 불분명한 이메일 및 불건전 홈페이지를 통한 감염 피해를 입지 않도록 주의
□ 네트워크 및 시스템 운영자
o 네트워크 DDoS 트래픽 모니터링 강화
o 방화벽, IDS, IPS 등에 DDoS 트래픽 차단 규칙 적용
이번 DDos 공격은 해커가 특정웹사이트를 해킹해서 악성코드를 심어두었고
해킹당한 사이트에 접속한 일반사용자들에게 악성코드가 자동으로 다운로드되어서
감염되었다. 이것이 바로 좀비PC이다. 이렇게 생성된 좀비PC들은 악성코드가 미리 등록되어있던 공격대상 26개에 동시에 공격을 가했고(DDos), 그결과, 이번 사태가 빚어진것이다. 이번 DDos공격에 사용된 악성코드는 파일크기가 작고 감염되더라도 별다른 증상이 나타나지않으며 평소처럼 컴퓨터를 사용해도 렉 등에 문제점이 발생하지않는다.
그로인해 일반사용자들이 자신의 컴퓨터가 좀비PC가 된 줄도 모르고 있는 실정이다.
그러므로 개인사용자들은 백신을 항상 최신버전으로 유지하고
백신프로그램을 통한 바이러스검사를 꼭 해주길 부탁드린다.
더불어 안철수연구소 등 백신업체에서 제공하는 전용백신을 다운로드 받아서
감염여부를 꼭 체크하고 치료하길 바랍니다.
그리고 윈도우업데이트를 항상 최신으로 하시길 바랍니다.
*현재 안철수연구소에 백신제품군은(V3 Lite, V3 365, V3 IS ~, ) 치료가능.
*현재 카스퍼스키는 치료가능.
*현재 바이러스체이서는 치료가능.
*현재 알약은 치료가능.
*현재 엔프로텍트 백신은 치료가능.
*이외는 확인중...
※검사시간을 단축시키는 방법
바이러스검사전 최적화 프로그램을 통해서 불필요한 파일을 제거후 검사하시면
조금이나마 빠르게 검사하실수 있습니다.
최적화프로그램
ccleaner : 다운로드 ------------------------------------------------------
ccsetup221.exe안철수연구소 V3시리즈 : 정밀검사로 바이러스 검사 실행.
안철수연구소 전용백신 :
http://download.ahnlab.com/vaccine/v3fileclean.exe
바이러스체이서 : 정밀검사로 바이러스 검사 실행.
알약 : 최신으로 업데이트 → 정밀검사!! 로 바이러스검사 실행.
엔프로텍트(AVS) :
http://www.nprotect.com/v6/data/index.php?mode=vs_down_view&no=279
엔프로텍트(avs) 전용백신 :
nProtectEAVDDoS-Host.comhttp://pds.nprotect.co.kr/pds/scan/nProtectEAVDDoS-Host.com
하우리(바이로봇) 전용백신 :
http://hauri.co.kr/customer/download/vaccine_view.html?uid=69&page=1
이스트소프트 전용백신 다운로드
카스퍼스키 전용백신 다운로드
1차 DDoS 공격대상 사이트 List
DDos attack list
현재까지 알려진 공격대상 사이트 :
- http://www.president.go.kr (청와대)
- http://www.mnd.go.kr (국방부)
- http://www.mofat.go.kr (외교통상부)
- http://www.assembly.go.kr (국회)
- http://www.usfk.mil (주한미군)
- http://blog.naver.com (네이버 블로그)
- http://mail.naver.com (네이버 메일)
- http://banking.nonghyup.com (농협 인터넷 뱅킹)
- http://ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- http://ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- http://www.hannara.or.kr (한나라당)
- http://www.chosun.com (조선일보)
- http://www.auction.co.kr (옥션)
- http://www.whitehouse.gov (백악관)
- http://www.faa.gov (미 연방 항공청)
- http://www.dhs.gov (미 국토 안전부)
- http://www.state.gov (미 국무부)
- http://www.voanews.com (미국의 소리 방송)
- http://www.defenselink.mil (미 국방부)
- http://www.nyse.com (뉴욕 증권 거래소)
- http://www.nasdaq.com (나스닥)
- http://finance.yahoo.com (야후 금융정보)
- http://www.usauctionslive.com (미국 옥션)
- http://www.usbank.com (US Bank)
- http://www.washingtonpost.com (워싱턴 포스트)
- http://www.ustreas.gov (미 재무부)
★ 악성코드
msiexec2.exe : 33,841 byte
이 파일이 실행되면 uregvs.nls 파일을 생성하며, 해당 파일에는 공격대상의
도메인 리스트가 포함되어 있으며, 실제 공격 수행 파일은 아래의 2개입니다.
(1) - perfvwr.dll : 65,536 byte
(2) - wmiconf.dll : 67,072 byte
@ 영향
감염 PC에서 초당 1,050 패킷. 100 킬로 바이트 정도 발생하며, 감염 PC에서 특정 사이트 대상으로 초동 100 패킷, 7 킬로바이트 정도 발생하여 웹 서비스를 방해합니다.
해당 DDos 공격은 최근 발생한 IE Zero day 취약성을 이용한것으로 예상하고있습니다.
# 긴급 패치파일 파일 다운로드 주소
http://www.nshc.net/bbs.php?table=sub_nshc_04_01&query=view&uid=626
[MS 제로데이 취약성으로 인한 피해사례]
o 마이크로소프트 윈도우즈의 비디오 스트리밍을 위한 ActiveX 컨트롤(msvidctl.dll)의 버퍼플로우
o 마이크로소트프는 본 취약점에 대해 Security Advisory를 발표함.
o 공격자는 악의적인 웹 사이트에 사용자가 접속하도록 유도하여 공격자가 심어놓은 코드 실행
※ TV 튜너 지원을 제공하는데 사용되는 MPEG2TuneReuqest ActiveX 컨트롤 취약점
※ 관련 CLSID : 0955AC62-BF2E-4CBA-A2B9-A63F772D46CF 외 44개 [1]
※ 관련 CVE : CVE-2008-0015 [5]
[영향 받는 시스템]
o 영향 받는 소프트웨어
- Windows XP Service Pack 2 and Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 with SP2 for Itanium-based Systems
o 영향 받지 않는 소프트웨어
- Microsoft Windows 2000 Service Pack 4
- Windows Vista, Windows Vista Service Pack 1, and Windows Vista Service Pack 2
- Windows Vista x64 Edition, Windows Vista x64 Edition Service Pack 1
- Windows Server 2008 for 32-bit Systems
- Windows Server 2008 for x64-based Systems
- Windows Server 2008 for Itanium-based Systems
