오후 9시 현재 네이버 메일 쪽지 블로그 등 일부 서비스, 조선닷컴, 청와대 국방부 백악관 홈피, 옥션 등에 동시 다발적으로 접속이 되지 않는 사태가 발생. 이 정도 규모라면 IE 버그 등을 기반으로 한 제로데이 공격 중 하나인 것으로 추정됨. 정확한 인과 관계는 아직 파악되지 않고 있음. 단순 접속불가 사태는 아니고, DDoS 공격을 받고 있는 것은 분명함.
네이버 악성코드?
http://clien.career.co.kr/zboard/view.php?id=free&no=735514
네이버 접속 불량?
http://clien.career.co.kr/zboard/view.php?id=free&no=735505
http://www.ppomppu.co.kr/zboard/view.php?id=freeboard&no=423983
옥션 등 불량?
http://www.kpug.net/zboard/view.php?id=free2&no=64295
http://www.ppomppu.co.kr/zboard/view.php?id=freeboard&no=423980
네이버 공지
http://nboard.naver.com/nboard/read.php?board_id=nvnews&nid=437
<업데이트 1차>
위 사고와 관련성은 파악되지 않았지만 위에 언급된 최근 MS의 제로데이 버그는 다음과 같음.
윈도XP와 윈도 2003의 IE6 또는 IE7 사용 시 Video ActiveX Control 공격. Microsoft DirectShow 일부 버그를 공격하는 것으로 파악됨. MS에서 곧 패치를 내 놓을 예정.
Microsoft Security Advisory (972890)
Vulnerability in Microsoft Video ActiveX Control Could Allow Remote Code Execution
Version: 1.0
Microsoft is investigating a privately reported vulnerability in Microsoft Video ActiveX Control. An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. When using Internet Explorer, code execution is remote and may not require any user intervention.
6일 MS의 버그 공지 및 조치권고
http://www.microsoft.com/technet/security/advisory/972890.mspx
해결책
http://support.microsoft.com/kb/972890
인터넷스톰센터 자료 추천
http://isc.sans.org/diary.html?storyid=6733
A 0-day exploit within the msVidCtl component of Microsoft DirectShow is actively being exploited through drive-by attacks using thousands of newly compromised web sites, according to CSIS. The code has been published in the public domain via a number of Chinese web sites.
이번 공격에 사용되는 Exploit Domain 리스트 - 대부분 중국
http://isc.sans.org/diary.html?storyid=6739
MSDN 보안 블로그 자료
CSIS 분석
http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=799
KRCert 자료
http://www.krcert.or.kr/secureNoticeView.do?num=339&seq=-1
국가 사이버 안전센터 http://www.ncsc.go.kr/ 참고
관련 번역기사
http://www.boannews.com/media/view.asp?idx=16954&kind=1
각종 보도자료
http://www.google.com/hostednews/afp/article/ALeqM5j9Bp9uJgDXSz0t_uNQGzk2x-f32A
http://abcnews.go.com/Technology/wireStory?id=8015442
http://news.idg.no/cw/art.cfm?id=54AC8003-1A64-67EA-E47F9A9692D0AADC
http://www.pcadvisor.co.uk/news/index.cfm?newsid=118674
http://www.theregister.co.uk/2009/07/06/new_microsoft_exploit_in_wild/
<업데이트 2차>
위에 언급한 사안이 아닐 수도 있습니다. 국정원에서는 다음과 같이 분석하고 있습니다.
| [주의 경보발령] 홈페이지 서비스마비공격 악성코드 출현 | ||||
안철수 연구소의 관련 자료입니다.
http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28840
<업데이트 3차>
다음과 같은 블로거의 분석이 설득력을 얻고 있습니다.
http://xcoolcat7.tistory.com/520
밤 11시 쯤 perfvwr.dll 의 존재가 처음 알려졌으며 이후 이번 사건과 관련된 악성코드들이 속속 밝혀지고 있다.
- 파일명 : msiexec2.exe
- 파일길이 : 33,841 바이트
- V3 진단명 : Win-Trojan/Agent.33841
이 파일이 실행되면 uregvs.nls 파일을 생성한다.
이 EXE 파일에는 코드 내부에 공격 리스트를 담고 있다.
<업데이트 4차>
人터넷에서 놀자 카테고리의 다른 글
안녕하세요. ITViewpoint 스타터이자 공동 에디터 '서명덕 기자' 입니다. 닉네임은 떡이떡이 입니다.
이 곳은 블로그미디어이며, 개인 공간은 http://itviewpoint.thoth.kr/ 을 메인으로 옮겨 갈 생각입니다.
개인적인 목적이라면 콘텐츠 막펌을 전면 허용 http://itviewpoint.com/blog/54971 합니다. 다만 비상업적인 용도에 한하며, 상업적인 용도라면 별도로 문의하세요. RSS http://itviewpoint.com/blog/rss 는 전문 제공합니다.
![[레벨:52]](http://itviewpoint.com/modules/point/icons/warrock/52.gif "포인트:251220point (83%), 레벨:52/100"){kind=icon}
서명덕 기자
네이버 메일은 임시 조치로 모바일 웹페이지 http://m.mail.naver.com/ 우회를 권장하고 있습니다.
http://nboard.naver.com/nboard/read.php?board_id=nvnews&nid=438 를 더 참고하세요.
다른 사이트는 여전히 불안정합니다.
서명덕 기자
보도자료 2009-07-08
안철수연구소, DDoS 공격용 악성코드 전용백신 무료 제공
- ASEC, CERT 비롯 전사 비상 대응 체제 가동
- 개인은 물론 기업/기관서도 무료 사용..기존 V3 사용자는 최신 버전으로 치료
- 기업/기관은 DDoS 방어 통합보안 시스템, 보안관제 서비스 등 필요
글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com)는 7일 저녁부터 국내외 웹사이트를 겨냥한 DDoS 공격이 발생함에 따라 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료 제공한다.
이번에 많은 웹사이트를 다운시킨 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과, 또 다른 악성코드를 내려받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD)들이다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한 것이다. 공격 대상은 청와대, 국방부, 옥션, 백악관, 야후 등 국내 13개, 해외 22개 사이트로 코딩되어 있으나, 공격자에 의해 변경/추가될 수 있다.
안철수연구소는 이들 악성코드를 진단/치료할 수 있는 전용백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1)을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 2007/7.0/8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.
안철수연구소 시큐리티대응센터 조시행 상무는 “사용자의 PC가 DDoS 공격에 악용되지 않게 하려면 평소 보안 수칙을 실천하는 것이 중요하다. 운영체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 유지하고 실시간 검사 기능을 켜두어야 한다. 또한 이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다.”라고 강조했다.
또한 웹사이트를 운영하는 기업/기관에서는 DDoS 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다.
<좀비 PC 예방 대책 10계명>
DDoS 공격에 이용되는 악성코드에 감염되지 않으려면 PC 사용자는 다음의 보안 수칙을 지켜야 한다.
. 윈도 운영체계는 최신 보안 패치를 모두 적용한다.
. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다.
. 웹 서핑 때 액티브X '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.
. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.
. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.
. PtoP 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.
. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.
. 외부 침입자가 나의 시스템을 불법적으로 사용하지 못하도록 공유 권한은 '읽기'로 설정해 놓고 사용한 후에는 공유를 해제한다.
. 안철수연구소의 V3 제품군을 설치하면 모든 악성코드를 예방/진단/치료할 수 있다. 네트워크로 드나드는 사용자 시스템의 모든 트래픽 현황을 한눈에 볼 수 있어 웜 등 비정상적인 트래픽을 유발하는 악성코드의 접근 상태를 확인하여 신속하게 차단할 수 있다.
. 보안 제품은 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다. <Ahn>
서명덕 기자
7월 8일자 자료
DDoS 공격으로 주요 인터넷사이트 장애 발생
방송통신위원회(위원장 최시중)와 정보보호진흥원(KISA)은 7일 오후 7시경부터 다수의 컴퓨터를 이용하여 특정사이트에 대량의 트래픽을 전송하는 분산서비스거부(DDoS) 공격으로 인해 국내·외 일부 사이트에 장애가 발생하여 “주의” 경보를 발령한다고 밝혔다.
이번 DDoS 공격은 국내·외 특정 사이트를 대상으로 대량의 유해 트래픽을 발생시켜 접속 지연, 서비스 장애 등을 유발시키고 있으며, 국내의 경우 일부 국가기관 및 은행·언론 사이트들이 공격대상에 포함되어 되어 있는 것으로 파악되었다.
DDoS 공격의 출처에 대해서는 아직 정확히 알려지지 않고 있으나, KISA의 분석 결과, 지난 ’03년도의 1.25 인터넷침해사고와 달리 이번 DDoS 공격은 특정 웹사이트에 대한 접속장애를 유발한다는 점에서 그 유형이 다른 것으로 나타나고 있다.
따라서 KISA에서는 인터넷 이용자들이 자신의 PC가 이 같은 DDoS 공격의 근원지로 악용되지 않도록 백신 프로그램을 통한 주기적인 악성코드 점검 및 윈도우 최신 보안패치를 할 것을 당부하였다.
최근 DDoS 공격을 유발하는 악성프로그램인 봇(BOT)에 감염되지 않기 위해서는 윈도우 업데이트를 수시로 실행하고 백신프로그램을 최신패턴으로 업데이트해야 한다.
한편 방송통신위원회는 ISP 및 피해 사이트에서 악성코드에 감염된 컴퓨터의 IP를 탐지하여 이를 차단하는 대응조치를 취하고 있으나, DDoS 공격의 특성상 피해 확산의 우려가 있으므로 24시간 종합상황실을 운영하는 한편 ISP, 백신업체 등과 긴밀한 공동대응체제를 구축, 유사 시 상황에 대비하고 있다고 밝혔다.
기술적인 지원 또는 도움이 필요한 인터넷 사용자들은 KISA에서 운영하는 보호나라 홈페이지(http://www.boho.or.kr)를 방문하거나, KISA 인터넷침해사고대응지원센터에 전화(국번없이 118)하여 전문 상담직원의 도움을 받을 수 있다.
행정안전부 자료
|
범정부 DDoS 특별대응체계 가동 | |
|
정부(행정안전부, 국가정보원, 방송통신위원회)는 ‘07. 7. 7 발생한 주요 사이트 분산서비스(DDoS) 공격에 대응하기 위해 정부기관과 민간 사이트에 대한 사이버위협 ’주의‘ 경보를 발령하였다.
이번 사이버공격은 국방부, 외교부 등 정부 주요부처와 네이버, 신한은행 등 민간의 인터넷 사이트에 비정상적인 트래픽을 발생시켜 해당 인터넷 사이트의 접속 중단과 서비스 장애가 발생됐다. 행정안전부와 국가정보원은 모든 행정기관에 DDoS 주의경보를 발령하고, 모든 공무원 PC에 해킹 트래픽을 긴급 점검하도록 조치하였으며, 대전 통합전산센터에 DDoS 대응 종합상황실을 설치하여 정부부처에 대한 DDoS 공격을 실시간으로 감시·차단하도록 조치하였다. 특히, DDoS 공격을 받은 부처에 대해서는 정부와 전문가 합동으로 특별 감시체계를 가동하여 대응하도록 하였다. 또한, 방송통신위원회와 한국정보보호진흥원은 DDoS 확산방지 종합상황실을 운영하여 민간포털 사이트에 대한 DDoS 대응 감시체계를 강화하는 한편, 인터넷 이용자 등에 대해서도 자신의 PC가 DDoS 공격 진원지가 되지 않도록 백신SW를 이용하여 악성코드를 일제 정비할 것을 당부하였다. |
xcoolcat7님의 블로그의 댓글을 보니깐 공격사이트가 바뀐것 같다고 합니다.
http://xcoolcat7.tistory.com/523
서명덕 기자
보도자료 2009-07-09
안철수연구소, 2차 DDoS 공격용 악성코드 전용백신 제공
- 완벽한 치료는 전세계 백신 중 V3 가 최초, 유일
- 1.25 인터넷 대란 이후 최고 수준 비상 대응 체제 가동
- 공격 스케줄러 해독 완료..24시간 단위 공격
글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com)는 1차 전용백신을 무료 제공한 데 이어 8일 저녁부터 안철수연구소를 비롯한 국내 웹사이트를 겨냥한 2차 DDoS 공격이 발생함에 따라 2차 전용백신을 개발해 9일 새벽 2시부터 무료 제공 중이다.
이에 앞서, 안철수연구소는 2003년 1.25 인터넷 대란 이후 최고 수준의 전사 비상 대응 체제를 유지하고 일본 출장 중 급거 귀국한 김홍선 CEO를 중심으로 500여 전직원이 공익적 차원에서 국민적 안전을 위해 국가적 사이버 재난 사태에 총력을 기하고 있다.
안철수연구소가 밤샘 분석 작업 끝에 악성코드를 해독한 결과 악성코드에 스케쥴러 기능이 설계돼 있었다. 이에 따르면, 기존 공격 대상 사이트 중 7개 사이트를 겨냥해 9일 18시부터 10일 18시까지 mail.naver.com, mail.daum.net, mail.paran.com, www.egov.go.kr, www.kbstar.com, www.chosun.com, www.auction.co.kr에 DDoS 공격을 하도록 코딩되어 있다. 공격 대상과 시간은 변종 등에 의해 수시로 변경될 수 있다.
또한 8일 18시부터 9일 18시에는 www.mnd.go.kr, www.president.go.kr, www.ncsc.go.kr, mail.naver.com, mail.daum.net, mail.paran.com, www.auction.co.kr, www.ibk.co.kr, www.hanabank.com, www.wooribank.com, www.altools.co.kr, www.ahnlab.com, www.usfk.mil, www.egov.go.kr를 공격하도록 설계되어 있었다.
이는 7일에 발생한 공격 대상에서 변경된 것으로, 공격 대상 목록을 담은 파일(uregvs.nls)을 악성코드에서 자체 생성하는 것으로 추정된다.
안철수연구소는 좀비 기능을 막기 위해 nls 파일을 차단하는 전용백신(http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1)을 추가 개발해 개인은 물론 기업/기관에도 무료 제공 중이다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 2007/7.0/8.0 등 V3 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.
현재 이번 DDoS 공격에 이용되는 악성코드를 완벽히 진단/치료하는 백신은 전세계에서 V3제품군이 유일하다. 국가적 사이버 대란이 있을 때마다 앞장서 대책을 제시해온 안철수연구소는 이번에도 앞선 기술력과 긴급대응체제로 진화에 앞장서고 있는 것이다. 안철수연구소는 변종 악성코드가 존재할 것으로 보고 변종 추적에 집중하고 있다.
안철수연구소 김홍선 대표는 “이번 DDoS 대란은 지속적으로 발생할 가능성이 높다. 공격 기지로 악용되는 개인 및 기업용 PC가 깨끗해져야 근본적으로 해결될 수 있다.”라며 “이번 사건으로 우리나라 정보보안 수준이 후진국 수준임이 드러났다. 개인은 물론 기업/기관 모두 정보보안의 중요성을 인식하는 계기가 되길 바란다.”라고 말했다.
한편 DDoS 공격을 받는 쪽에서는 트래픽을 적절히 분산하고 유해 패킷을 차단하는 등의 조치로 웹사이트 다운을 막을 수 있다. 웹사이트를 운영하는 기업/기관에서는 DDoS 차단 기능이 있는 네트워크 보안 솔루션이나 보안관제 서비스를 이용해 피해를 최소화하는 것이 중요하다.
이번에 많은 웹사이트를 다운시킨 악성코드는 마이둠 변종(Mydoom.88064, Mydoom.33764, Mydoom.45056.D)과, 또 다른 악성코드를 내려받는 다운로더(Downloader.374651), 공격 대상 웹사이트 목록을 담은 파일(BinImage/Host), 네트워크 트래픽을 유발하는 다수의 에이전트(Agent.67072.DL, Agent.65536.VE, Agent.32768.AIK, Agent.24576.AVC, Agent.33841, Agent.24576.AVD)들이다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한 것이다.
이 악성코드에 감염되면 PC내 일부 파일이 zip, zoo, arc, lzh, arj, gz, tgz 등의 확장자로 암호화되어 압축 저장된다. 또한 A~Z 드라이브의 물리적인 첫 시작 위치부터 ‘Memory of the Independence Day’라는 문자열이 저장돼 있어 정상적인 시스템의 MBR및 파티션 정보가 손상되는 증상이 발생한다. <Ahn>
서명덕 기자
“한국카스퍼스키 랩, 신종 DDos 공격 바이러스 무료 치료 백신 배포”
보안 컨텐츠 솔루션 개발의 선도 기업, 한국카스퍼스키 랩(대표 이창규, www.kaspersky.co.kr)은 지난 7월 7일 저녁 6시부터 보고된 신종 DDos 공격 바이러스와 관련하여 무료 치료 백신을 홈페이지를 통해 제공한다고 밝혔다.
7월 8일 저녁부터 공격 대상을 더욱 넓혀가고 있는 신종 DDos 공격을 예방하기 위해 개인 및 기업 사용자의 PC에 백신을 설치하고 최신 데이터베이스로 자동 업데이트하여 실시간 감시를 해야 할 것이다. 또한, 운영체제 보안패치 설치 및 신뢰할 수 없는 웹 사이트로의 방문을 자제하는 것이 중요하다.
이에 한국카스퍼스키랩에서는 이번 DDos 공격 바이러스를 치료하는 데이터베이스를 7월 7일 저녁부터 업데이트를 하고 있다. 또한, 타사 백신과 함께 사용할 수 있도록 무료 치료 백신(http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=272)도 공개하고 있다.
한편, 추가적인 공격에 대비하여 지속적인 모니터링과 함께 국가 기관 및 국내 백신 업체와 협력하여 피해를 최소화할 수 있도록 비상체제를 유지하고 있다.
![[레벨:16]](http://itviewpoint.com/modules/point/icons/warrock/16.gif "포인트:25185point (72%), 레벨:16/100"){kind=icon}
호랭이
![[레벨:17]](http://itviewpoint.com/modules/point/icons/warrock/17.gif "포인트:26285point (8%), 레벨:17/100"){kind=icon}
thoth
조선닷컴 속보 기사에 따르면
라고 합니다.