본문 바로가기

벌새::Security

국내 인터넷 사이트 대규모 DDoS 공격 소식 (2011.3.4)

반응형
국내 특정 웹하드 업체(ShareBox, SuperDown) 프로그램 변조를 통하여 해당 웹하드 프로그램이 설치된 사용자 PC를 좀비PC로 이용한 국내 인터넷 사이트 공격용 DDoS 악성 프로그램이 유포되어, 현재 시간 대규모 DDoS 공격(일명 3.3 DDoS 공격)을 받고 있다는 소식이 보안 업체를 통해 전파가 되고 있습니다.

출처 : 안철수연구소(AhnLab)

이번에 공격 대상은 2009년 7월 7일에 발생한 DDoS와 유사하게 청와대를 비롯한 국내 포털 사이트(네이버, 다음), 대형 인터넷 쇼핑몰 등 29개 사이트를 대상으로 이루어지고 있습니다.

현재 알려진 정보에 의하면 다음 공격 시간은 오후 6시 30분으로 공격 대상 사이트 수는 40개로 증가되어 지속적으로 공격이 있을 것으로 보입니다.

[공격 대상 사이트 목록]

네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 제8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력
[AhnLab V3 진단명 정보]

ntcm63.dll : Win-Trojan/Agent.131072.WL
SBUpdate.exe : Win-Trojan/Agent.11776.VJ
ntds50.dll : Win-Trojan/Agent.118784.AAU
watcsvc.dll : Win-Trojan/Agent.40960.BOH
soetsvc.dll : Win-Trojan/Agent.46432.D
mopxsvc.dll : Win-Trojan/Agent.71008
SBUpdate.exe : Win-Trojan/Npkon.10240
Trojan/Win32.Npkon
Trojan/Win32.Dllbot

[nProtect 긴급 업데이트 진단 정보]

① 2011년 03월 03일 02번째 긴급 업데이트 (23시 20분경 완료)
Trojan/W32.Dllbot.40960, Trojan/W32.Dllbot.46432, Trojan/W32.Dllbot.71008

② 2011년 03월 04일 01번째 긴급 업데이트 (01시 00경 완료)
Trojan/W32.Agent.10240.OO, Trojan/W32.Agent.11776.OF

③ 2011년 03월 04일 02번째 긴급 업데이트 (11시 00분경 완료)
Trojan/W32.Agent.118784.ACE, Trojan/W32.Agent.131072.YG

④ 2011년 03월 04일 03번째 긴급 업데이트 (11시 30분경 완료)
Trojan/W32.Agent.20480.AZR, Trojan/W32.Agent.11776.OG

[알약(AlYac) 진단명 정보]

Backdoor.DllBot.gen, V.BKD.DllBot.gen, Trojan.Downloader.Agent.33D, V.DWN.Agent.33D, Trojan.Dropper.Agent.nthost, V.DRP.Agent.nthost, Trojan.Agent.docCrypt, V.TRJ.Agent.docCrypt, Trojan.Agent.hosts, V.TRJ.Agent.hosts

 

그러므로 사용하시는 보안 제품을 이용하여 최신 업데이트를 적용한 후 정밀 검사를 하시거나, 안철수연구소(AhnLab)에서 제공하는 전용 백신 또는 국내 보안 업체에서 제공하는 전용 백신을 다운로드하여 검사를 하시기 바랍니다.

 

보안 업체 하우리(Hauri)에서도 3.3 DDoS 전용 백신을 현재 제공하고 있으므로 참고하시기 바랍니다.

 

현재 알려진 악성 파일은 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll 등의 파일이므로 사용자 PC에 해당 파일들이 존재할 경우 감염이 의심되므로 전용 백신을 이용하여 정밀 검사를 하시기 바랍니다.

참고로 이번 공격 패턴이 이전의 7.7 DDoS와 유사하므로 감염된 PC의 경우 하드디스크 자료를 파괴하는 동작이 있을 수 있으므로 반드시 사전에 보안 제품을 이용하여 감염된 악성 파일을 제거하는 것이 중요합니다.

추가로 확인된 정보에 의하면 감염된 PC에서는 한글 문서(hwp)를 포함한 다수의 파일에 대하여 cab 압축 파일 포멧을 이용한 압축 및 암호화를 통하여 문서 등을 사용자가 접근할 수 없도록 하는 동작이 확인되고 있으므로 주의가 요구됩니다.

또한 전용 백신을 보안 업체 또는 보안 관련 사이트가 아닌 블로그, 인터넷 게시판에 등록된 경우에는 다운로드하여 실행하지 않도록 주의하시기 바라며, 해외 보안 제품을 사용하시는 분들은 반드시 국내 보안 업체에서 제공하는 전용 백신을 이용하여 추가적인 검사를 하시기 바랍니다.

 

 

반응형