청와대,네이버,조선일보 등의 DDoS 공격 형태 분석

7월 7일 18시경부터 현재까지 청와대, 외교통상부, 네이버(메일), 조선일보 등의 웹사이트에 분산서비스거부공격으로 인한 접속 장애가 발생 중입니다. (☞ 관련기사 보기)
한국정보보호진흥원(KISA)의 분석보고서에 따르면 본 DDoS 공격은 Bot에 감염된 PC들에 의해 perfvwr.dll이 서비스로 등록되어 uregvs.nls에 하드 코딩된 웹사이트로 TCP GET Flooding 공격을 수행하고 있다고 합니다.

※ TCP GET Flooding 공격은 대규모 Traffic 유발은 아니며 Bandwidth보다 공격당하는 서버쪽의 Resource가 Full이 되어서 문제가 됨.

금번 Bot은 콘트롤서버가 없이 특정 공격대상을 Bot의 코드내에 포함시켜놓은 경우라 일반적인 콘트롤서버의 주소를 찾아 이를 차단함으로서 공격을 막는 방법이 통용이 안되는 점이 특징입니다.
현재 악성코드를 유포하고 있는 것으로 의심되는 IP를 차단중이며 개인 PC 사용자들은 혹 본인 PC의 방화벽 설정이 되어 있는지 확인하시고 바이러스 백신의 최신 업데이트를 실시 후 검사하시길 바랍니다.

<악성코드 분석내용>

* 출처 : 한국정보보호진흥원(KISA)

- perfvwr.dll이 서비스로 등록되어 uregvs.nls에 하드 코딩된 웹사이트로 GET Flooding 공격을 수행
      * 파일 읽어들이면서 버퍼에 저장
      * GET 요청 문자열 생성
- uregvs.nls에는 공격대상 도메인, 공격 방법 등이 명시된 내용을 포함
- 정해진 코드를 이용하여 명시된 웹사이트로 GET Flooding 공격을 수행
- 레지스트리 변경
      * C:\WINDOWS\system32\perfvwr.dll을 "Performance Analyzer"라는 이름의 서비스로 등록
         ※ HKLM\SYSTEM\CurrentControlSet\Services\perfvwr
      * 방화벽 설정 비활성화
        HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall = 0

(7/8 15:00 추가)
AhnLab에서 전용백신을 발표(http://kr.ahnlab.com/dwVaccineView.ahn?num=81&cPage=1) 했습니다. 혹 감염되신 분이라면 백신 최신 업데이트를 하시거나 해당 전용 백신으로 치료하시기 바랍니다.

(7/8 19:10 추가)
공격지 대상의 변경이 가해지고 있습니다. 봇이 해당 uregvs.nls에 있는 공격지 패턴 변경이 추측되고 있으며, 현재 Ahnlab과 같은 보안업체쪽의 공격도 가해지고 있습니다.
혹시 전용백신 접속이 안되서 다운로드 안되시는 분들은 아래에서 다운 받으시길 바랍니다.

v3fileclean_silence.exe