1. 개요
- 09.07.07 ~ 07.10 3차례에 걸쳐 국내 주요 기관 및 인터넷 포털 사이트를 대상으로 대규모 DDoS 공격 발생
> 09.07.04 미국 주요 사이트를 대상으로 공격이 시작되어, 09.07.07 국내 대상 공격이 시작됨
- 정부기관, 은행, 포털, 언론, 쇼핑몰 등 26개 주요 인터넷 사이트가 서비스 제공이 불가능
- 공격 이후 경각심을 깨우치고 공격 예방 및 정보보호 생활화를 위해 매년 7월 둘째 수요일을 정보보호의 날로 지정
2. 주요내용
2.1 타임라인
① 웹하드 서버 악성코드 감염
- 미상의 공격자는 웹하드 서비스 업체의 서버에 침입
- 웹하드 프로그램 업데이트 파일에 악성코드를 삽입
② 사용자 웹하드 업데이트
- 사용자는 자동 업데이트 등으로 웹하드 업데이트 진행
- 업데이트 파일에 삽입된 악성코드에 의해 msiexec.exe 파일이 악성코드에 감염
※ msiexec.exe
> 파일 경로: C:\Windows\system32
> Windows에서 사용하는 인스톨러 관련 기능을 담당하는 설치 프로그램
③ C2 서버 접근
- 감염된 사용자 PC는 C2서버 접속 및 DDoS 공격을 위한 파일 다운로드
- 다운로드 파일: msiexec1.exe, msiexec2.exe, msiexec3.exe
※ 각 파일의 동작 과정은 동일하며, 공격 대상 리스트와 DDoS 공격 방식의 차이를 보임
④ 추가 파일 다운로드
- msiexec1.exe은 DDoS 공격을 위한 추가 파일 다운로드
> msiexec2.exe, msiexec3.exe의 경우 uregvs.nls 파일의 내용만을 변경하며 나머지 과정은 동일
| 파일명 | 설명 |
| uregvs.nls | - 공격 대상과 관련된 정보 저장 - 공격 대상, 공격 시작/종료 시각 정보 등 |
| wmiconf.dll | - DDoS 공격에 이용되는 트래픽 발생 - 윈도우 서비스 등록 후 uregvs.nls에서 공격 대상을 읽어 DDoS 공격 수행 |
| vme.bat | 자신을 포함하여 다운 받은 파일이 모두 삭제될 때까지 반복 |
| wmcfg.exe | mstimer.dll을 생성 및 실행 |
| mstimer.dll | - Windows Time Service(컴퓨터의 날짜와 시간을 동기화)로 등록하여 스팸 메일 전송 - flash.gif 파일 다운로드 |
| flash.gif | 파일 내부에 악성 파일이 삽입되어 있으며, wversion.exe 생성 |
| wversion.exe | - mstimer에 의해 조건(2009년 7월 10일 00시)이 만족할 경우 동작 - 모든 하드 디스크에 ‘Memory of the Independence Day’ 문자열을 삽입해 MBR 및 파티션 정보 삭제 - 파괴 전 ppt, xml, doc 등의 중요한 확장자를 검색하여 암호화 |
⑤ DDoS 공격 수행
- 다운받은 파일을 기반으로 DDoS 수행
> 당시 KISA는 공격이 115,000여개 IP주소에서 공격 트래픽이 발생했다고 발표
- 국내 DDoS 공격 대상
| 구분 | 국가/공공기관(7) | 금융기관(7) | 민간기관(7) | ||
| 언론사 | 포털 사이트 | 보안업체 | |||
| 사이트 | 청와대 국회 국방부 외교통상부(現 외교부) 한나라당 국가사이버안전센터 전자민원G4C(現 정부24) |
농협 신한은행 외환은행 기업은행 하나은행 우리은행 국민은행 |
조선일보 | 옥션 네이버(메일, 블로그) 다음(메일) 파란(메일) |
알툴즈 안철수 연구소 |
2.2 기존 DDoS와 차이점
| 기존 DDoS | 구분 | 7.7 DDoS |
| 해커로부터 명령을 받는 명령·제어 서버 존재 | C2 존재 여부 | 악성코드 업데이트 서버 존재 |
| C2 서버의 네트워크를 통한 실시간 공격 | 공격 방법 | 일정 주기로 악성코드를 업데이트 받아 스케줄링을 통한 공격 |
| 여러 취약점을 악용한 악성코드로 인한 감염 | 감염경로 | 공격자가 정상적인 프로그램에 숨겨둔 악성코드가 동작 |
| C2 서버 차단 | 대응방안 | 악성코드 제거 |
| 상대적 소수 | 공격대상 | 상대적 다수 |
| DDoS 공격 위한 악성코드 1개 | 악성코드 갯수 | 압축파일 형태의 악성코드를 다운로드 DDoS 공격 외에도 다양한 악성행위 수행 |
| 공격명령내용 모니터링 가능 | 네트워크 연결정보 |
암호화된 채널을 사용 |
| 공격자 명령 지속적 수행 | 악성 행위 | 단기공격 수행 후 하드디스크 삭제 |
| 금전적 이득 | 공격 목적 | 사회혼란 유발(추정) |
※ 당시 발표된 자료를 기반한 정리로 현황가 차이가 있을 수 있음
2.3 당시 사후조치
| 구분 | 설명 |
| DDoS 대응체계 확립의 필요성 대두 | - 국가 사이버위기 종합대책을 수립 시행 - 금융감독원: DDoS 공격 대응 종합 대책 - 금융결제원: DDoS 공격 대피소 구축 - 행정안전부: 범정부 DDoS 공격 대응 체계 구축 - 방송통신위원회&한국인터넷진흥원 > 영세 기업을 위한 DDoS 공격 사이버 긴급대피소 구축 사업 > 인터넷망 연동 구간 DDoS 공격 대응 체계 구축 3차 사업 > 좀비 PC 치료 체계 시범 구축 사업 등을 추진 |
| 인터넷침해사고 주의 경보 발령 | 시간 경과 및 공격 소강에 따른 단계 완화 |
| 민간 협력체계 활용 (유관기관, 포털업체, ISP, 백신업체 등 공조) |
숙주 사이트 및 악성코드 유포사이트 차단 |
| 악성코드에 의한 하드디스크 파괴 관련 피해 확산 방지를 위한 보안공지 및 복구 지원 | |
| - 유관기관: 사태완화 노력 및 피해 사이트와 인터넷 이용자에 대한 지원 - 포털업체: 현 상황 설명 및 피해 주의 공지문 게재 - ISP 업체: 좀비 PC 확인, 숙주·유포 사이트에 대한 차단 조치 수행 - 백신업체: DDoS 악성코드 치료를 위한 전용백신을 개발하여 무료 배포 |
3. 대응방안
| 구분 | 조치 |
| 사용자 | - 백신 최신 업데이트 유지 - OS 최신 업데이트 유지 - 출처가 불분명한 파일 저장 및 실행 금지/주의 - 공식 홈페이지에서 파일 다운로드 등 |
| 서비스 제공자 | - 내부-외부 네트워크 경계에 방화벽 설치 - Anti-DDoS 솔루션 도입 - 로드밸런싱, 이중화 등으로 서비스 장애 대비 - 주기적 취약점 점검 및 조치하여 최신 상태 유지 - 불필요 또는 미사용 포트 점검 등 |
| 국가 | - 효율적 대응 체계 마련 - 사이버침해 관련 지원 활성화 - 범국민 대상 보안 관련 자료 또는 공익광고 배포 등 |
4. 참고
[1] https://teamcrak.tistory.com/110
[2] https://ko.wikipedia.org/wiki/7%C2%B77_DDoS_%EA%B3%B5%EA%B2%A9
[3] https://itwiki.kr/w/7.7_%EB%94%94%EB%8F%84%EC%8A%A4
[4] https://www.boannews.com/media/view.asp?idx=21860
[5] https://www.etnews.com/201209110597
'취약점 > Denial of Service' 카테고리의 다른 글
| SLP DRDoS (CVE-2023-29552) (0) | 2023.11.13 |
|---|---|
| HTTP/2 Rapid Reset DDoS (CVE-2023-44487) (0) | 2023.10.13 |
| Anonymous Sudan DDoS (0) | 2023.06.23 |
| BGP 프로토콜의 서비스 거부 취약점 (CVE-2022-40302, CVE-2022-40318, CVE-2022-43681) (0) | 2023.05.03 |
| Apache Commons Fileupload 서비스 거부 취약점 (CVE-2023-24998) (0) | 2023.02.27 |