대규모 디도스 공격 준비되나? 국내 웹사이트 '빨간불'

11월부터 국내 PC 사용자 타깃으로 새로운 유형의 디도스 봇넷 악성코드 유포중
C&C 서버로부터 공격형태, 공격주기, 공격대상 URL 등 지시 받아 디도스 공격 가능

 

지난 11월부터 국내 PC 사용자를 타깃으로 한 새로운 유형의 디도스 봇넷(DDoS Botnet) 악성코드가 유포되고 있는 것으로 드러났다. 이에 따라 국내 주요 웹사이트들을 대상으로 한 대규모 디도스 공격이 준비되고 있는 것 아니냐는 우려가 커지고 있다.

 

 

 

▲ 해당 악성코드를 바이러스토탈에서 진단하지 못하는 모습

 

 

더욱이 지난 2일 바이러스토탈(Virustotal) 탐지 결과 대부분의 백신 프로그램에서 해당 디도스 봇넷 악성코드를 진단하지 못하고 있는 실정이다. 이 때문에 명령제어(C&C: Command & Control) 서버의 지시에 따라 변종 악성코드가 추가로 배포될 수 있는 위험에 노출돼 있다.

이와 관련 보안전문업체 NSHC의 RedAlert팀은 “해당 악성코드에 감염될 경우 C&C 서버를 통한 추가 명령어 전송이 가능하다”며 “C&C 서버로부터 공격형태, 공격주기, 공격대상 URL 등의 정보를 받아 5가지 유형의 디도스 공격을 수행하게 된다”고 밝혔다.

 

 

 

▲ 악성서비스 설치 화면

 

 

악성코드는 시스템에 서비스로 등록되어 상주하게 되며, 운영체제 정보, 시스템 사용 언어, 악성코드 버전 등의 정보를 수집한다. 수집된 정보는 Single Byte Encrypt 방식을 통해 암호화된다. 이렇게 암호화된 정보는 C&C 서버로 전송되며, 해당 시스템은 디도스 봇넷으로 등록된다.
C&C 서버의 명령 중 ‘0x4000000’과 URL값을 받으면 URLDonwloadToFileA 함수를 통해 추가 실행파일을 다운로드하며, 다운로드된 파일은 시스템 임시폴더에 저장된다.

따라서 이용자는 시스템 감염이 의심될 경우 윈도우 탐색기의 폴더 옵션에서 보호된 운영체제 숨기기 체크박스의 체크를 해제하고, 숨김파일 및 폴더 표시의 라디오 버튼을 클릭해 적용한 뒤, 경로(C:WINDOWS\sys%c%c%c%c.exe(MD5: 753E215C07DD52BEDBB962C755D71155, %TEPM%win%ca%cb%cd.exe)에 해당되는 파일을 삭제해야 한다.

 

 

 

▲ 악성서비스 삭제 화면

 

 

다음으로는 윈도우 레지스트리 편집기를 이용해 악성코드 관련 레지스트리(HKLM\SYSTEM\CurrentControlSet\Services\KillAllmkea web Service)를 삭제하고, 악성코드에 의해 생성된 서비스의 이름을 확인해 아래와 같은 커맨드 명령어로 악성 서비스인 sc stop "[Sevice Name]"와 sc delete "[Sevice Name]"를 삭제해야 한다.

 

출처: 보안뉴스 http://www.boannews.com/media/view.asp?idx=48767