[출처 : http://s.weibo.com/weibo/%E4%B8%AD%E5%9C%8B%E9%BB%91%E5%AE%A2]
최근 국제 정세에 따른 중국발 해킹공격 분석 -Part1 (Apache Struts2 취약점 Deface 공격 관련)
[http://www.wins21.co.kr/blog/blog-sub-01.html?]t=31&num=233]
최근 국제 정세에 따른 중국발 해킹공격 분석 -Part2
DDoS 공격은 전통적인 서비스 공격 방식으로 최근 발생하는 DDoS 공격 유형은 몇가지 형태로 나눠 볼 수 있다.
관련기사
►롯데면세점 홈페이지 마비 원인은 中 디도스 공격…“피해액 수 억”(종합)
[http://biz.chosun.com/site/data/html_dir/2017/03/02/2017030202925.html#csidx948db58adfbd9bd99a42007bbe42567]
►아카마이 “4분기 대형 디도스 공격 140% 증가”4분기 가장 많이 사용된 디도스 공격 기법은 UDP 프래그먼트(27%), DNS(21%), NTP(15%) 순
[http://www.boan24.com/news/articleView.html?idxno=6361]
1.NTP Amplification DDoS
2014년 발생한 NTP DDoS 공격은 현재도 다양한 취약점을 동반해 발생하고 있다.
최근 롯데그룹사를 겨냥한 NTP Amplification DDoS 변종 공격이 탐지 되었다. 유입된 트래픽 양이 서비스
장애를 발생시킬 정도의 규모는 아니였으나, 최근의 공격 트랜드로 보았을 때, DDoS 공격을 시도한다면 NTP를
이용한 공격이 시도 될것으로 예상된다.
[최근 발생한 중국발 NTP DDoS 공격 트래픽]
NTP 서버의 취약점 여부는 다음과 같은 방법으로 확인이 가능하다.
ntpdc 커맨드 명령을 이용한 확인법
| ntpdc -c monlist
nmap을 이용한 확인법
nmap -sU -p 123 --script=ntp-monlist.nse
Private한 NTP 서버를 보유한 경우는 ntpd를 4.2.7 버전으로 업그레이드 하거나 monlist 기능을 해제한다.
ntp.conf 파일에 다음과 같은 라인 추가
restrict default kod nomodify notrap nopeer noruery
restrict -6 default kod nomodify notrap no peer no query
|
Sniper-IPS에서는 다음과 같은 패턴으로 중국발 NTP Amplification DDoS 공격을 방어 가능하다.
[1880] NTP Amplification DDoS Attack
[1881] NTP Amplification DDoS Attack.A
[1882] NTP Amplification DDoS Attack.B
[1883] NTP Amplification DDoS Attack.C
[1884] NTP Amplification DDoS Attack.D
[1885] NTP Amplification DDoS Attack.E
[1886] NTP Amplification DDoS Attack BOT
[1887] NTP Amplification DDoS Attack BOT.A
[1888] NTP Amplification DDoS Attack BOT.B
[1889] NTP Amplification DDoS Attack BOT.C
[3436] NTP Amplification DDoS Attack.F
[3437] NTP Amplification DDoS Attack.G
2.IOT DDoS
Mirai 공격피해
지난 2016년 10월 21일 DNS 서비스 제공업체 다인(Dyn)이 대규모 DDoS(Distributed Denial of Service, 분산서비스거부) 공격을 받아 트위터(Twitter), 넷플릭스(Netflix), 뉴욕타임즈(The NewYork Times, NYT) 등 총 76개의 사이트가 일제히 마비되거나 서비스가 지연되는 사건이 발생한 바 있다.
국내에서도 Mirai 악성코드에 의한 피해가 발생하였는데 2016년 9월경 국내 ISP의 국제 관문 망에서 해외 특정 서버로의 트래픽이 과다 발생한 사례이며, 이 사고 역시 Mirai에 감염된 IoT 기기에 의한 DDoS 공격 트래픽으로 확인됐다.
악성코드는 Telnet을 운용하는 장비를 대상으로 사전 공격을 수행하고, Busybox를 운용중인 장비를 감염시킨다. 이후 원격지로부터 명령을 수신받아 DDoS 공격을 수행한다.
공격의 종류는 아래와 같다.
- UDP Flood Attack
- Valve Source Engine Attack
- DNS Amplification Attack
- TCP-SYN Flood Attack
- TCP-ACK Flood Attack
- TCP STOMP Flood Attack
- GRE IP Flood Attack
- GRE Ethernet Flood Attack
- HTTP Flood Attack
최근에는 변종 Mirai로 보이는 봇에 의한 공격이 지속적으로 국내에 유입되고 있다.
작년말부터 GRE Protocol을 이용한 packet이 유입되고 있으며, 금융,엔터테인먼트 관련 다수 사이트에서 발생하고 있다.
이번 GRE Flooding 의심 공격을 Mirai 소스 코드와 비교한 분석자료이다.
1) TTL값이 64로 기존 Mirai의 255와 차이 -> 이번 공격과 다름 : Mirai 변종 의심
2) payload는 0 or 512b랜덤 선택 가능하나, 이번공격은 payload 0으로만 공격 -> 이번 공격과 부분 일치 : Mirai 의심
3) IP,PORT등은 전부 랜덤 -> 이번 공격과 일치 : Mirai 의심
[Mirai 변종 DDoS 공격 의심 트래픽]
관련기사
► 디도스(DDoS) 공격 도구로 돌변한 스마트홈 기기들
[http://kr.besuccess.com/2017/03/%EA%B3%B5%EA%B2%A9-%EB%8F%84%EA%B5%AC%EB%A1%9C-%EB%8F%8C%EB%B3%80%ED%95%9C-%EC%8A%A4%EB%A7%88%ED%8A%B8%ED%99%88-%EA%B8%B0%EA%B8%B0%EB%93%A4/]
►미국 인터넷 절반 마비…주요 웹호스팅 업체 디도스 공격 당해..이번 DDoS 공격에는 카메라나 DVR 같은 사물 인터넷 디바이스가 5만~10만 대 포함됐는데, 모두 미라이 봇넷에 감염된 것
[http://www.itworld.co.kr/news/101726#csidxd0914a208f0adc9b8536a928eb4adb8]
Sniper-IPS에서는 다음과 같은 패턴으로 IOT 기기를 이용한 DDOS 공격을 방어가 가능하다.
[0764] GRE Traffic Flooding
[0765] GRE IP-Pair Flooding
[3338] Linux/DDoS.Mirai
[3339] Linux/DDoS.Mirai.A
[3404] Linux/Downloader.Shell.Mirai
[3405] Linux/Downloader.Shell.Mirai.A
[3406] Linux/Downloader.Shell.Mirai.B
[3407] Linux/Downloader.Shell.Mirai.C
3.DNS DDoS
DNS 서비스 거부 공격은 DNS 취약점에서 비롯된다.
최신의 보안패치가 이루어지지 않은 취약한 DNS 서버는 다양한 취약점에 노출되어 공격자에게 이용되고, 이로 인해 shutdown(서비스 중지)가 발생하거나, DNS 서버 자체가 DDoS 공격의 중간체 역할을 하게 된다.
특히 OpenSource 기반의 ISC BIND DNS는 해커들의 주요 공격 대상으로 수많은 취약점이 수시로 발견되기에 보안 패치가 매우 중요하다.
Securecast 분석보고서(https://securecast.co.kr)
ISC BIND Query Response Missing RRSIG Denial of Service (CVE-2016-9444)
ISC BIND ANY Query Response Assertion Failure Denial of Service (CVE-2016-9131)
ISC BIND RRSIG Record Response Assertion Failure DoS (CVE-2016-9147)
ISC BIND DNS64 and RPZ Query Processing DoS (CVE-2017-3135)
ISC BIND CVE-2016-9444 Remote Denial of Service Vulnerability
[ISC BIND Query Response Missing RRSIG Denial of Service (CVE-2016-9444).PDF]
[ISC BIND RRSIG Record Response Assertion Failure DoS (CVE-2016-9147).PDF]
[ISC BIND ANY Query Response Assertion Failure Denial of Service (CVE-2016-9131).PDF]
공격자들이 DNS·호스팅 업체를 눈독들이는 이유는 한 번에 많은 타깃을 검색할 수 있어서다. 해당 업체 공격에 성공한다면, 이곳을 이용하는 수많은 고객들에게 접근할 수 있는 경로가 열리는 셈이다.
2013년 청와대와 국무조정실을 비롯해 43여개 민간기관 홈페이지를 변조한 6.25 디도스(DDoS) 사이버공격에서 정부통합전산센터 DNS 서버를 공격한 사례만 봐도 알 수 있다
관련기사
► 아시아나항공, 왜 해커의 먹잇감이 됐나?
[http://www.ddaily.co.kr/news/article.html?no=153001]
► 6.25 변종악성코드, DNS서버증폭 공격
[http://m.zdnet.co.kr/news_view.asp?article_id=20130629075236#imadnews]
Sniper-IPS에서는 다음과 같은 패턴으로 DNS를 이용한 DDOS 공격을 방어가 가능하다.
[3336] ISC BIND buffer.c Assertion Failure DoS
[3337] ISC BIND buffer.c Assertion Failure DoS.A
[3172] BIND DNS TKEY Query Input Error DoS
[3173] BIND DNS TKEY Query Input Error DoS.A
[1829] ISC BIND Regular Expression Handling DoS
[0495] DNS TRAFFIC Flooding
[0499] DNS Abnormal Status DoS
[0498] DNS YXDomain Status DoS
[0497] DNS NXDomain Status DoS
[0496] DNS Form Error Status DoS
[0493] DNS Punycode Request(No TLD)
[0489] DNS Response Flooding
[0485] DNS Reverse DNS Qeury TTL_112
[0484] DNS ETC Type Query Flooding
[0483] DNS A6 Type Query Flooding
[0482] DNS AAAA Type Query Flooding
[0481] DNS MX Type Query Flooding
[0480] DNS PTR Type Query Flooding
[0439] DNS CNAME Type Query Flooding
[0478] DNS NS Type Query Flooding
[0477] DNS A Type Query Flooding
[0476] DNS Request Flooding
[0475] DNS Malformed Request
