간추린 내용
2009년 7월 7일 발생한 DDOS 공격이 청와대, 네이버, 각 은행, 국내 주요 사이트 운영에 장애를 유발
악성코드는 기존 C&C 서버로부터 공격 목표를 전달받는 것이 아니라 감염시 생성되는 공격목표(하드코딩 됨) 설정 파일을 기반으로 공격
perfvwr.dll 이 Service 로 등록되어 uregvs.nls(하드코딩된 파일) 로 GET Flooding 공격을 수행
perfvwr.dll → " Performance Analyzer" 라는 이름으로 Service 에 등록이 되어 있음
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services → perfvwr 항목있는지 검사
uregvs.nls → 공격대상 , Domain , 공격 방법 등이 명시된 내용을 포함
HTTP GET 요청으로 발생하는 Traffic 비율이 전체 공격 Traffic의 92.4%로 대부분을 차지함
User-Agent의 입력 값은 다섯 가지 형태가 있습니다.
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6;.NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
- User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1;Trident/4.0; GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NETCLR 3.5.30729)
- User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20 (.NET CLR 3.5.30729)
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;InfoPath.2; MAXTHON 2.0)
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;Trident/4.0; GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NETCLR 3.5.30729)
하지만 위 요청들은 모두 정상적인 요청으로 Signature 로 차단하기 매우 힘듬
POST 형식 중 Content-Length:0 HTTP 규악에는 위배되지 않지만 비정상적이라 생각할 수 있음
브라우저 형식 별로 국내환경을 고려해 차단 가능 하지만 어디까지나 환경적 요소가 강함
Accept-Language: zh-cn 를 패턴화시킴 (환경적으로 중국 OS 를 사용하는 사용자는 거의 없음)
CC 공격 : Cache-Control: no-store, must-revalidate Signature 만듬
Request Packet 에는 CC 사용하는 경우는 거의 없지만 Response 에서는 가끔 있음
2009년 7월 7일 발생한 DDOS 공격이 청와대, 네이버, 각 은행, 국내 주요 사이트 운영에 장애를 유발
악성코드는 기존 C&C 서버로부터 공격 목표를 전달받는 것이 아니라 감염시 생성되는 공격목표(하드코딩 됨) 설정 파일을 기반으로 공격
perfvwr.dll 이 Service 로 등록되어 uregvs.nls(하드코딩된 파일) 로 GET Flooding 공격을 수행
perfvwr.dll → " Performance Analyzer" 라는 이름으로 Service 에 등록이 되어 있음
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services → perfvwr 항목있는지 검사
uregvs.nls → 공격대상 , Domain , 공격 방법 등이 명시된 내용을 포함
HTTP GET 요청으로 발생하는 Traffic 비율이 전체 공격 Traffic의 92.4%로 대부분을 차지함
User-Agent의 입력 값은 다섯 가지 형태가 있습니다.
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6;.NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
- User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1;Trident/4.0; GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NETCLR 3.5.30729)
- User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US;rv:1.8.1.20) Gecko/20081217 Firefox/2.0.0.20 (.NET CLR 3.5.30729)
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;InfoPath.2; MAXTHON 2.0)
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;Trident/4.0; GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NETCLR 3.5.30729)
하지만 위 요청들은 모두 정상적인 요청으로 Signature 로 차단하기 매우 힘듬
POST 형식 중 Content-Length:0 HTTP 규악에는 위배되지 않지만 비정상적이라 생각할 수 있음
브라우저 형식 별로 국내환경을 고려해 차단 가능 하지만 어디까지나 환경적 요소가 강함
Accept-Language: zh-cn 를 패턴화시킴 (환경적으로 중국 OS 를 사용하는 사용자는 거의 없음)
CC 공격 : Cache-Control: no-store, must-revalidate Signature 만듬
Request Packet 에는 CC 사용하는 경우는 거의 없지만 Response 에서는 가끔 있음
댓글