Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Armada Collective DDoS Hacking Group Issue
작성일 2017-06-23 조회 4244

개요

 2017 년 6 월 20 일 ~ 21 일 국내 다수 금융권을 대상으로 한 DDOS 공격 협박 메일이 감지 되었습니다. 공격그룹은 Armada Collective 라고 하는 해킹 그룹으로서 현존하는 핵티비즘 그룹인 DD4BC, RedDoor, ezBTC Squad 와 흡사한 공격 양상을  나타냅니다. 주로 공격 예고장인 메일을 내부 사용자에게 랜덤으로 전송 한뒤 전자화폐인 비트 코인을 요구하고, 이를 수용하지 않을 시 1 차/2 차/3 차 공격등을 지속적으로  수행합니다.

 

공격자 정보

▶ Armada Collective

<그림 - 1> 해킹 그룹에서 보낸 협박 메일 내용 일부

 

 2017 년 국/내외 주요 금융권 및 민간 업체를 대상으로 협박성 메일을 전송한 뒤 비트 코인을 요구하는 메일을 발송하며, 요구 조건에 대한 기간안에 요구금액을 수용하지 않을 시 공격을 진행하며 DDOS 공격 양도 증가시키며 비트코인을 요구합니다.

 Armada Collective 해킹 그룹의 공격 방식은 Lizard Squad 라는 해킹 그룹과 공격 방법 및 협박 메일이 매우 유사하며, 공격대상으로 협박성 메일을 통한 비트코인 요구 후 공격을 수행하는 방식으로 수행됩니다.

 

<그림 - 2 > Lizard Squad VS Aramda Collective 협박 메일

 

 Armada Collective 해킹 그룹은 2015 년부터 2017 년도 까지 공격을 수행하였으며, 공격을 통하여 알려진 수행 가능한 공격 및 사용가능한 프로토콜은 현재까지 최소 21 가지 이며 세부 내역은 다음과 같습니다.

 

<표 - 1 > Aramda Collective 그룹 2015~2017년 DDoS 공격사례

공격 대상

Finacial / Web Service / E-Commerce / Retail

공격 벡터

SSDP / TCP SYN / NTP / SYN Flood / DNS / UDP / SYN ACK / SSYN / TCP RST / ICMP /

DNS / CharGEN / QOTD / BitTorrent / KAD / Portmap / Stream Protocol / mDNS / Netbios RIPv1 / Quake Network Protocol

공격 사례

2015 년 11 월

[ ProtonMail, Neomailbox, VFEmail, Hushmail, Fastmail, Zoho, Runbox   - E-mail 서비스 ]

→ 약 7 일간 최대 100Gbps 공격   유입

2016 년 4 월

[ Tutanota - E-mail 서비스 ] → 공격 량 파악   불가

2016 년 4 월

[ CloudFlare - 네트워크 클라우드 서비스  ]

→ 1TB 예고 하였으나 실제 수행되지   않음

2016 년 10 월

중국 대기업을 대상으로 DDOS  공격(다수)

→ 공격 량 최대 60Gbps   유입

 2017 년 6 월

대한민국 주요 금융 기관을 대상으로 DDOS 공격 수행

→ 1 차 공격량 최대 900Mbyte 수행 후 비트 코인 요청

→ 요구 조건 미 수용 시 1TByte 공격 예고

 

 여러 금융권을 대상으로 협박메일의 경우 협박성 메일을 전송 후 요구 조건을 수용하지 않으면, 1TB 이상의 공격  을 수행할 수 있음을 메일로 전달 하였습니다.

 

<그림 - 3> 금융권에 보낸 협박 메일

 

공격 수행 세부

▶ 공격 내역

 공격자로부터 협박 메일 전송 후 공격이 수행되면 여러 국가로부터 Botnet 을 통하여 고객사 대표 홈페이지로 다음과  같은 공격이 수행됩니다.

 

TCP SYN Flooding

- 공격 → N : 1 / Dst Port 80, 443 / TCP SYN Flooding(ECN,CWR Flag) / 최대 공격량 900Mbyte

<그림 - 4 > TCP SYN Flooding 공격

 

NTP Amplification DDoS Attack

-공격 → N : 1 / Srt Port 123 / NTP Amplification(Reponse) / 최대 공격 량   100Mbyte

<그림-5> NTP Amplication DDoS Attack

 

ICMP Flooding

-공격 → N : 1 / ICMP Flooding / 공격량  적음

 

▶ 공격 대응

 공격자로부터 발생한 DDOS 공격은 고객사 별로 수행된 시간이 다르게 확인되었으나, 공격 진행 시 사용된 메일/공격 방식/ 공격량 등은 유사하게 확인 되었습니다.

 

<표 - 2 > A고객사 공격 및 대응 시나리오

A 고객사 공격 Time  Table

6 월 20 일 23 시 1 분 –    외부 메일을 통한 공격자로부터 비트코인 요청 메일 확인

6 월 20 일 23 일 3 분 ~ 18 분 – 1 차 공격  수행

6 월 20 일 12 시 27 분 – 공격 중지 및 대응   종료

 

공격 분석 및 대응  내역

공 격 – TCP SYN Flooding / NTP Amplification / ICMP Flooding 공격  확인

공격자 IP – JP/US/RU/AU/CN/BR/GB/ID/IN/NZ/DE/CL/EG/ES/KR/AU/CA/FR/TW/VN/NL/KE/BB [국가코드] 공격자 IP 별    최소 시도 횟수 1 회 / 공격자 IP 별 최대 시도 횟수 10,151,453 회

대 응 – SNIPER DDX CPS(SSS) , ICMP Flooding 탐지/차단 수행  SNIPER IPS NTP Amplification DDOS Attack.E 탐지/차단 수행

 

대응 방안

▶ SNIPER DDX

SNIPER DDX 5.0 이상의 버전에서 SSS(CPS) 를 이용한 탐지/방어 권고

IP Pool 생성 – 내부 대응 Zone   설정

서버포트 0 권고, CPS 임계치 하향  권고

※ 공격 영향에 따라 TCP SYN Flooding 정책 하향    및 유지 권고

 

<그림 - 6>  DDX 설정 화면

 

▶ SNIPER IPS

SNIPER IPS 7.0.e 이상의 버전에서 다음과 같이 탐지/방어  권고

서비스 거부 – ICMP 탐지 정책 방어 권고 / ICMP 서비스 없을 시 상단 Router DROP 필터링 적용

패턴 블록 – NTP Amplification DDOS Attack A – E / NTP Amplification Attack.BOT.A – G / NTP Remote Buffer Overflow / NTP read_mru_list Input Validation Vulnerablity

※ 최소 1 일 모니터링 후 방어   권고

 

<그림 - 7> IPS 설정 화면

 

▶ SNIPER IPS 탐지 패턴

▶ NTP 관련 공격 탐지 패턴

[3344] TR-069 NewNTPServer Code Injection

[3341] NTP read_mru_list Input Validation Vulnerability

[1880] NTP Amplification DDoS Attack

[1881] NTP Amplification DDoS Attack.A

[1882] NTP Amplification DDoS Attack.B

[1883] NTP Amplification DDoS Attack.C

[1884] NTP Amplification DDoS Attack.D

[1885] NTP Amplification DDoS Attack E

[1886] NTP Amplification DDoS Attack BOT

[1887] NTP Amplification DDoS Attack BOT.A

[1888] NTP Amplification DDoS Attack BOT.B

[1889] NTP Amplification DDoS Attack BOT.C

[3436] NTP Amplification DDoS Attack.F

[3437] NTP Amplification DDoS Attack.G

 

▶ 관련탐지 패턴

[3480] ISC BIND rndc Control Channel Assertion Failure DoS

[3337] ISC BIND buffer.c Assertion Failure DoS.A

[3336] ISC BIND buffer.c Assertion Failure DoS

[3173] BIND DNS TKEY Query Input Error DoS.A

[3172] BIND DNS TKEY Query Input Error DoS

[1829] ISC BIND Regular Expression Handling DoS

 

▶ 관련탐지 패턴

[3404] Linux/Downloader.Shell.Mirai

[3405] Linux/Downloader.Shell.Mirai.A

[3406] Linux/Downloader.Shell.Mirai.B

[3407] Linux/Downloader.Shell.Mirai.C

[3338] Linux/DDoS.Mirai

[3339] Linux/DDoS.Mirai.A

[3195] Linux/DDoS.Mubot.483328

[1987] Linux/DDoS.XorDDos.CompileCheck

[1986] Linux/DDoS.XorDDos.InfectedCheck

[1981] Linux/DDoS.XorDDos.Download

[1953] Linux/DDoS.Zendran

 

▶ 탐지 패턴

[3190] Win32/Trojan.StormDDoS.UserAgent

[1963] Win32/Backdoor.DarkDDoser.InitialConnection

[1928] Win32/DDoS.Pandora

[1924] Win32/StormDDoS.Connection

[1921] Stacheldraht DDoS Attack (handler->agent niggahbitch)

[1739] Win32/Trojan.KRDDoS.245760

[1654] Netbot Attacker DDos(CC Attack)

 

첨부파일 첨부파일이 없습니다.
태그   DDoS, Aramda,