분산 서비스 공격(DDOS)

DDOS란?

서비스에 대한 정당한 접근을 방해하거나 차단하고자 네트워크에 분산되어 있는 많은 에이전트를 이용하여 공격대상 서버에 동시에 과도한 서비스 요청을 발생 시키는 공격
여러 대의 컴퓨터(좀비 PC)를 일제히 동작하게 하여 특정 사이트를 공격하게 하여 엄청난 분량의 패킷을 동시에 범람시켜 N/W 성능 저하나 시스템 마비를 가져오게 하는 해킹기법

DDOS의 특징

사이버 테러 형태

사이버 조폭들의 DDoS 공격들과 다르게 금전적 요구가 없음

증거인멸

공격을 완료한 후, 좀비 PC의 데이터를 파괴하여 증거를 인멸

C&C 형태변화

기존의 C&C와 좀비는 항상 세션이 연결되어 탐지가 용이하였으나
금번 C&C는 좀비와 연결이 없어 방어가 어려움

상용 서비스 프로그램 해킹

기존의 악성코드 유포형태의 좀비 네트워크 형성과 다르게
상용 서비스의 프로그램을 해킹하여 악성코드를 유포시킴

웹 어플리케이션 DDoS

일반적인 L2/L3 공격인 TCP, UDP, ICMP Flooding 형태의 공격이 아닌 웹 어플리케이션에 대한 HTTP GET Flooding이 대부분으로 방어가 난해함

DDOS 악성코드 유포경로

해커들은 웹하드 사이트를 해킹해 악성코드를 심어놓은 뒤 이용자들이 정상적인 업그레이드를 진행할 때
자동적으로 악성코드에 감염되도록 함

DDOS 좀비의 동작원리

악성코드에 감염된 좀비 컴퓨터는 독일과 미국, 오스트리아, 태국 등 전세계에 퍼져있는 4개 그룹의 C&C(command&control)서버에 순차적으로 접속

좀비컴퓨터 관리서버 -> 파일정보 수집서버 -> 악성코드 공급서버 -> 좀비 컴퓨터 파괴서버 등 네트워크화된 4단계 C&C서버는 치밀하게 연결돼 DDos 공격에서 각자의 역할을 수행

DDOS C&C 서버의 역할

좀비컴퓨터 관리서버

웹하드 사이트를 통해 최초 감염된 좀비컴퓨터들과 교신하며 위치를 파악한 뒤 좀비컴퓨터들이
2번째 C&C서버 그룹인 '파일정보 수집서버'에 접촉하도록 하는 안내자

파일정보 수집서버

좀비컴퓨터 내부에 있는 파일목록을 유출하도록 명령을 내렸으며, 이렇게 유출된 파일목록은 다시
캐나다와 베네스엘라, 이스라엘에 있는 서버로 재유출

악성코드 공급서버

-속해 실제 DDos 공격을 수행하는 악성코드를 다운받아 공격을 수행
XXX.jpg라는 파일명으로 그림파일로 위장한 파일을 좀비컴퓨터에 전송한 것으로 드러났으며
이 서버는 미국 서부에 위치한 한 농장 홈페이지에 숨겨져 있었음

좀비컴퓨터 파괴서버

하드디스크를 파괴하는 작업을 수행