내용변경 : 7/13 09:20 내용의 오류가 있어서 정정합니다.
대략 마무리 되어가는 추세인듯 싶습니다. 다른 변종이 나타나지 않은 이상...
지금까지 분석 내용들을 나름 정리해보면 다음과 같습니다.
#01.
C&C(명령제어)서버가 업는줄 알았는데 찾아보니 나오더라는... -_-
악성코드의 업데이트 서버를 추적하기 어렵게
다국적의 IP를 대역폭에 따라 랜덤하게 신호를 보내고 특정 C&C업데이트 서버임을 인증을 받는 형태라 쉽게 못찾았나 봅니다.
#02.
이번 웜은 감염경로 등을 숨기기 위하여 참 많은 노력을 했었던 듯 싶습니다.
지가 Temp에 파일을 쓰고나서 파일 다시 생성하고 Temp 파일 지우고.. 하드디스크에 기록을 남기기 위해 특정파일들을 (복구 불가능하도록) 암호화 압축해서 지우고 MBR에 파티션 테이블도 날려주시고...
#03.
악성코드 제작자의 의도적인지 비의도적인지 모를 실수로 다행히 하드디스크 삭제 크리의 범위가 크지 않았다.
.NET Framework 3.5이나 MS Visual Studio 개발툴이 설치되지 않은 PC에서는 라이브러리가 없어서 삭제 크리 실행 불가했다는...
#04.
공격대상 URL을 업데이트하는 바이너리의 교모성.
공격대상 URL을 업데이트하는 바이너리 파일인 msiexec2.exe가 숫자 2에서 n번까지 존재하고 업데이트된 url 정보를 담는 파일인 uregvs.nls 파일의 시간을 특정시간으로 변경하고 자가 삭제 기능까지.. -_-
#05.
북측의 소행이 아니냐 끊임없이 보수언론사를 통해 기사가 나오고 있고 일부 국정원에서 증거를 추적중이라 하는데 기술쟁이 입장에선 기술적으로 추적은 불가능. 다만 다른 첩보가 있다면..???
#06.
어쨌든 12일 08:00 기준, 방통위에서는 DDoS 트랙픽이 완전 소멸했다고 함.
일부 금융사이트의 트래픽을 직접확인한 바, 10일 18시 이후 드라마틱하게 트랙픽이 잦아듬.. -_-
최종결론...
몸살이 걸려 힘들어 죽겠는데 DDoS 대응반이라는 명목으로 하는일 없이 상황실에 앉아 있는데 죽을맛이라는..
KISA 상황전파문은 잊을만하면 하나씩 날라들고 방통위에서 혹시 모를 연락이 올까봐 몇몇 좀비화가 되어가고 있는 팀원들은 자리를 지킬 뿐이고.. ㅠㅠ
대략 마무리 되어가는 추세인듯 싶습니다. 다른 변종이 나타나지 않은 이상...
지금까지 분석 내용들을 나름 정리해보면 다음과 같습니다.
#01.
C&C(명령제어)서버가 업는줄 알았는데 찾아보니 나오더라는... -_-
악성코드의 업데이트 서버를 추적하기 어렵게
다국적의 IP를 대역폭에 따라 랜덤하게 신호를 보내고 특정 C&C업데이트 서버임을 인증을 받는 형태라 쉽게 못찾았나 봅니다.
#02.
이번 웜은 감염경로 등을 숨기기 위하여 참 많은 노력을 했었던 듯 싶습니다.
지가 Temp에 파일을 쓰고나서 파일 다시 생성하고 Temp 파일 지우고.. 하드디스크에 기록을 남기기 위해 특정파일들을 (복구 불가능하도록) 암호화 압축해서 지우고 MBR에 파티션 테이블도 날려주시고...
#03.
악성코드 제작자의 의도적인지 비의도적인지 모를 실수로 다행히 하드디스크 삭제 크리의 범위가 크지 않았다.
.NET Framework 3.5이나 MS Visual Studio 개발툴이 설치되지 않은 PC에서는 라이브러리가 없어서 삭제 크리 실행 불가했다는...
#04.
공격대상 URL을 업데이트하는 바이너리의 교모성.
공격대상 URL을 업데이트하는 바이너리 파일인 msiexec2.exe가 숫자 2에서 n번까지 존재하고 업데이트된 url 정보를 담는 파일인 uregvs.nls 파일의 시간을 특정시간으로 변경하고 자가 삭제 기능까지.. -_-
#05.
북측의 소행이 아니냐 끊임없이 보수언론사를 통해 기사가 나오고 있고 일부 국정원에서 증거를 추적중이라 하는데 기술쟁이 입장에선 기술적으로 추적은 불가능. 다만 다른 첩보가 있다면..???
#06.
어쨌든 12일 08:00 기준, 방통위에서는 DDoS 트랙픽이 완전 소멸했다고 함.
일부 금융사이트의 트래픽을 직접확인한 바, 10일 18시 이후 드라마틱하게 트랙픽이 잦아듬.. -_-
최종결론...
몸살이 걸려 힘들어 죽겠는데 DDoS 대응반이라는 명목으로 하는일 없이 상황실에 앉아 있는데 죽을맛이라는..
KISA 상황전파문은 잊을만하면 하나씩 날라들고 방통위에서 혹시 모를 연락이 올까봐 몇몇 좀비화가 되어가고 있는 팀원들은 자리를 지킬 뿐이고.. ㅠㅠ
<관련글>
2009/07/09 - 해외에선 금번 DDoS는 myDoom 변종으로 판단
2009/07/08 - AhnLab 긴급경보 최고등급인 Level4로 격상
2009/07/08 - 청와대, 네이버, 조선일보 등의 DDoS 공격 형태 분석
2009/07/09 - 해외에선 금번 DDoS는 myDoom 변종으로 판단
2009/07/08 - AhnLab 긴급경보 최고등급인 Level4로 격상
2009/07/08 - 청와대, 네이버, 조선일보 등의 DDoS 공격 형태 분석
'Working > IT Security' 카테고리의 다른 글
| 해외에선 금번 DDoS는 myDoom 변종으로 판단 (2) | 2009.07.09 |
|---|---|
| AhnLab 긴급경보 최고등급인 Level4로 격상 (0) | 2009.07.08 |
| 청와대,네이버,조선일보 등의 DDoS 공격 형태 분석 (0) | 2009.07.08 |
| 딜로이트 2009 TMT Global Security Survay (0) | 2009.06.25 |
| 2009년 보안실무자의 주요 보안이슈 (0) | 2009.01.12 |
