한국의 유명 사이트(포털, 인터넷뱅킹, 청와대, 한나라당 사이트를 비롯 정부기관, 조선일보, 옥션)는 물론이고,
미국 사이트들(백악관, US뱅크, 야후, 재무부, 나스닥... )도 다수 포함되는 DDoS 공격이 있었습니다.
공격 방법은 중국 아이피를 포함한 다수의 악성코드 유포사이트들을 접속하여
웜 바이러스를 다운로드 받아 좀비 PC가 된 다수의 PC들에서
지정된 사이트들로의 get flooding 공격을 통한 DDoS 공격이 이루어진 것으로 추정되며,
어젯밤 부터 peak로(금일 0시 가량) 현재까지도 정상적으로 웹이 열리지 않는 사이트들이 많습니다.
다수의 국내의 백신(V3, 바이로봇, 바이러스체이서, nprotect,...) 으로 현재 이 웜이 탐지가 가능하니
인터넷 사용자들은 자신의 PC 에 백신 최신 패턴 업데이트 후 full scan을 해 볼 것을 권해 드립니다.
감염된 PC 의 경우에 약 54.2KBps 정도의 부하밖에 주지 않기 때문에
PC가 느려지거나 하는 느낌이 없어 사용자가 능동적으로 백신 scanning을 하지 않는다면
DDoS 공격이 쉽게 해결되지 않을 수 있는 문제점이 있습니다.
또한 HTTP의 Get 요청 역시 정상적인 웹 접속 요청이기 때문에, 차단이 쉽지는 않을 것으로 보이며..
또한 감염된 PC에서는 src ip를 spoofing하여 UDP나 ICMP 패킷도 던지는 것으로 밝혀졌습니다.
(HTTP 92%, UDP 3%, ICMP 4% 가량)
감염 PC에서 확인한 한 웜의 경우...
Performance Analyzer라는 이름의 서비스명으로 자신을 등록하여
"C:\WINDOWS\system32\perfvwr.dll"를 등록시켰는데, 추가적인 변종 웜이 발견될 가능성이 있습니다.
No comments:
Post a Comment