|
Armada Collective DDoS Hacking Group Issue 침해사고분석팀 2017.06.23 |
||||||||||||||||||||
개요2017 년 6 월 20 일 ~ 21 일 국내 다수 금융권을 대상으로 한 DDOS 공격 협박 메일이 감지 되었습니다. 공격그룹은 Armada Collective 라고 하는 해킹 그룹으로서 현존하는 핵티비즘 그룹인 DD4BC, RedDoor, ezBTC Squad 와 흡사한 공격 양상을 나타냅니다. 주로 공격 예고장인 메일을 내부 사용자에게 랜덤으로 전송 한뒤 전자화폐인 비트 코인을 요구하고, 이를 수용하지 않을 시 1 차/2 차/3 차 공격등을 지속적으로 수행합니다.
공격자 정보▶ Armada Collective
<그림 - 1> 해킹 그룹에서 보낸 협박 메일 내용 일부
2017 년 국/내외 주요 금융권 및 민간 업체를 대상으로 협박성 메일을 전송한 뒤 비트 코인을 요구하는 메일을 발송하며, 요구 조건에 대한 기간안에 요구금액을 수용하지 않을 시 공격을 진행하며 DDOS 공격 양도 증가시키며 비트코인을 요구합니다. Armada Collective 해킹 그룹의 공격 방식은 Lizard Squad 라는 해킹 그룹과 공격 방법 및 협박 메일이 매우 유사하며, 공격대상으로 협박성 메일을 통한 비트코인 요구 후 공격을 수행하는 방식으로 수행됩니다.
<그림 - 2 > Lizard Squad VS Aramda Collective 협박 메일
Armada Collective 해킹 그룹은 2015 년부터 2017 년도 까지 공격을 수행하였으며, 공격을 통하여 알려진 수행 가능한 공격 및 사용가능한 프로토콜은 현재까지 최소 21 가지 이며 세부 내역은 다음과 같습니다.
<표 - 1 > Aramda Collective 그룹 2015~2017년 DDoS 공격사례
여러 금융권을 대상으로 협박메일의 경우 협박성 메일을 전송 후 요구 조건을 수용하지 않으면, 1TB 이상의 공격 을 수행할 수 있음을 메일로 전달 하였습니다.
<그림 - 3> 금융권에 보낸 협박 메일
공격 수행 세부▶ 공격 내역공격자로부터 협박 메일 전송 후 공격이 수행되면 여러 국가로부터 Botnet 을 통하여 고객사 대표 홈페이지로 다음과 같은 공격이 수행됩니다.
TCP SYN Flooding - 공격 → N : 1 / Dst Port 80, 443 / TCP SYN Flooding(ECN,CWR Flag) / 최대 공격량 900Mbyte
<그림 - 4 > TCP SYN Flooding 공격
NTP Amplification DDoS Attack -공격 → N : 1 / Srt Port 123 / NTP Amplification(Reponse) / 최대 공격 량 100Mbyte
<그림-5> NTP Amplication DDoS Attack
ICMP Flooding -공격 → N : 1 / ICMP Flooding / 공격량 적음
▶ 공격 대응공격자로부터 발생한 DDOS 공격은 고객사 별로 수행된 시간이 다르게 확인되었으나, 공격 진행 시 사용된 메일/공격 방식/ 공격량 등은 유사하게 확인 되었습니다.
<표 - 2 > A고객사 공격 및 대응 시나리오
대응 방안▶ SNIPER DDXSNIPER DDX 5.0 이상의 버전에서 SSS(CPS) 를 이용한 탐지/방어 권고
<그림 - 6> DDX 설정 화면
▶ SNIPER IPSSNIPER IPS 7.0.e 이상의 버전에서 다음과 같이 탐지/방어 권고
<그림 - 7> IPS 설정 화면
▶ SNIPER IPS 탐지 패턴▶ NTP 관련 공격 탐지 패턴 [3344] TR-069 NewNTPServer Code Injection [3341] NTP read_mru_list Input Validation Vulnerability [1880] NTP Amplification DDoS Attack [1881] NTP Amplification DDoS Attack.A [1882] NTP Amplification DDoS Attack.B [1883] NTP Amplification DDoS Attack.C [1884] NTP Amplification DDoS Attack.D [1885] NTP Amplification DDoS Attack E [1886] NTP Amplification DDoS Attack BOT [1887] NTP Amplification DDoS Attack BOT.A [1888] NTP Amplification DDoS Attack BOT.B [1889] NTP Amplification DDoS Attack BOT.C [3436] NTP Amplification DDoS Attack.F [3437] NTP Amplification DDoS Attack.G
▶ 관련탐지 패턴 [3480] ISC BIND rndc Control Channel Assertion Failure DoS [3337] ISC BIND buffer.c Assertion Failure DoS.A [3336] ISC BIND buffer.c Assertion Failure DoS [3173] BIND DNS TKEY Query Input Error DoS.A [3172] BIND DNS TKEY Query Input Error DoS [1829] ISC BIND Regular Expression Handling DoS
▶ 관련탐지 패턴 [3404] Linux/Downloader.Shell.Mirai [3405] Linux/Downloader.Shell.Mirai.A [3406] Linux/Downloader.Shell.Mirai.B [3407] Linux/Downloader.Shell.Mirai.C [3338] Linux/DDoS.Mirai [3339] Linux/DDoS.Mirai.A [3195] Linux/DDoS.Mubot.483328 [1987] Linux/DDoS.XorDDos.CompileCheck [1986] Linux/DDoS.XorDDos.InfectedCheck [1981] Linux/DDoS.XorDDos.Download [1953] Linux/DDoS.Zendran
▶ 탐지 패턴 [3190] Win32/Trojan.StormDDoS.UserAgent [1963] Win32/Backdoor.DarkDDoser.InitialConnection [1928] Win32/DDoS.Pandora [1924] Win32/StormDDoS.Connection [1921] Stacheldraht DDoS Attack (handler->agent niggahbitch) [1739] Win32/Trojan.KRDDoS.245760 [1654] Netbot Attacker DDos(CC Attack)
|
||||||||||||||||||||
