오늘(6월 25일) 오전 10시를 기점으로 사전에 감염된 좀비PC를 이용하여 청와대, 정부 기관, 새누리당, 언론사 등 16개 웹 사이트에 대한 홈 페이지 변조, 정보 유출 및 DDoS 공격이 일제히 발생하였습니다.
▷ 청와대 해킹과 "관심" 경보 발령 (2013.6.25)
이에 따라 인터넷 침해사고 경보단계는 현재 "주의" 단계가 발령된 상태이며, 보안 업체에서는 DDoS 공격에 사용된 악성코드에 대한 분석 정보 및 전용 백신을 공개하기 시작하였습니다.
▷ <AhnLab ASEC 블로그> 6.25 DDoS 공격에 사용된 악성코드 상세 분석 (2013.6.25)
▷ <nProtect 대응팀 공식 블로그> [긴급]청와대, 국무조정실, 언론사 등 6.25 사이버공격 - 계속 추가중 (2013.6.25)
현재 알려진 정보에 따르면 국내 웹하드(SimDisk 포함) 2곳에 등록된 웹하드 프로그램 설치 파일 변조 및 업데이트 기능을 이용하여 해당 웹하드 프로그램 사용자를 좀비PC로 이용하였으며, 감염 후 2013년 6월 25일 오전 10시부터 DDoS 공격을 시작하였다고 합니다.
특히 이번 DDoS 공격은 DNS(Domain Name Service) 서버에 일정 데이터 크기의 쿼리(Query)를 대량 전송하여 DNS 조회가 이루어지지 못하도록 하는 방식을 사용하였다고 합니다.
이에 따라 (주)이스트소프트(ESTsoft)에서 서비스하는 알약(ALYac)에서는 6.25 DDoS 공격에 사용된 악성코드만을 진단하기 위한 전용 백신을 제작하여 현재 배포하고 있습니다.
▷ <알약(ALYac) 전용백신> 6.25 정부기관 및 언론사 공격 악성코드 - Trojan.DDos.Svc
해당 전용 백신에서는 Trojan.DDoS.Svc, Trojan.Agent.Rot 진단명으로 진단되는 악성 파일에 대하여 진단 및 치료를 제공하고 있으므로, 특히 웹하드 서비스를 이용할 목적으로 프로그램을 설치한 사용자는 반드시 전용 백신 또는 현재 사용하는 보안 제품을 이용하여 정밀 검사를 진행하시기 바랍니다.
- 안랩(AhnLab) : Trojan/Win32.Ddkr, Trojan/Win32.DDoS 등
- 하우리(Hauri) : Trojan.Win32.S.DDoS-Agent.4383232, Trojan.Win32.S.DDoS-Agent.847872, Trojan.Win32.S.DDoS-Agent.936448 등
- 잉카(nProtect) : Trojan/W32.KRDDoS.918528, Trojan/W32.KRDDoS.1028096, Trojan/W32.KRDDoS.4383232, Trojan/W32.KRDDoS.847872, Trojan/W32.KRDDoS.936448 등
2011년 3월 DDoS 공격 등과 같이 대규모 사이버 공격을 위한 좀비PC 확보를 위해 웹하드 서비스 해킹을 통한 악성 파일 유포 행위가 지속적으로 이용되고 있으므로, P2P 서비스를 활발하게 사용하시는 분들은 보안에 더욱 신경쓰시기 바랍니다.
안랩(AhnLab) 전용 백신 : Win-Trojan/Ddkr.3405824 (2013.6.26)
▷ <안랩(AhnLab)> 6.25 DDoS 전용 백신 : Win-Trojan/Ddkr.3405824
안랩(AhnLab) 업체에서 6.25 DDoS 공격에 사용된 악성코드(Trojan/Win64.Ddos, Win-Trojan/Ddkr)를 진단 및 치료해주는 전용 백신을 공개하였으므로 이용하시기 바랍니다.