공격방식 최신기술보다 허점을 노린 지능적인 공격

14일 보안뉴스 회의실에서는 7.7 DDoS 대란이 주는 시사점과  효율적인 대응체계 구축을 주제로 한 ‘7.7 DDoS 대란 좌담회’가 각계 민간전문가가 참여한 가운데 보안뉴스 주최로 진행됐다.

이번 대규모 DDoS공격은 이전에 시도됐던 다른 DDoS 공격과 비교했을 때 여러 다른 특징을 찾아볼 수 있었다. 좌담회에 참가한 하우리 최상명 연구원은 이번 DDoS 공격의 특징을 알아보기 위해 공격 악성코드 분석 자료를 발표했다.

최상명 연구원은 “코드를 분석해본 결과 이번 공격에 이용된 기술은 최신기술을 이용하지 않고 예전에나 쓸법한 기술을 이용했지만 이런 방법이 오히려 허를 찔렀다”며 “시간을 정해놓고 공격을 했다는 점과 부분적으로 암호화를 시켰다는 점에서 동적 분석에 익숙한 전문가들이 정적분석을 통해 분석이 어렵게 만든 것 같다”고 설명했다.

최상명 연구원이 분석한 악성코드 파일은 ‘msiexec2.exe’로 초기 ┖msiexec1.exe┖에서 공격정보가 업데이트 된 파일이다.

┖msiexec1.exe┖파일은 공격을 시도하는 ┖wmiconf.dll┖파일 또는 "perfvwr.dll" 등을 생성하며 초기에는 공격정보가 없었다고 한다. 업데이트 기능을 통해 새로운 악성코드(msiexec2.exe, msiexec3.exe 등)를 다운받아 설치하게 된다.

msiexec2.exe의 오버레이(Overlay) 영역에는 공격대상 url 등 DDoS 공격정보가 담겨있다. 이 파일은 공격정보를 바탕으로 ‘uregvs.nls’ 파일을 생성하게 되고, ‘perfvwr.dll’ 파일은 uregvs.nls로부터 DDoS 공격정보 (URL, Port, 공격타입)를 얻어 파싱한다. (ex. www.ibk.co.kr;80;get;/;;)

▲msiexec2.exe에서 공격대상 url 등 DDoS 공격정보를 바탕으로 ‘uregvs.nls’ 생성 ⓒ최상명

▲msiexec2.exe 오버레이 영역에 포함된 공격정보 ⓒ최상명

 

파싱한 정보를 토대로 정상적인 웹 접속처럼 HTTP 헤더를 생성한다. 공격방식은 GET 방식과 POST 방식으로 두 종류. 그리고 브라우저 정보를 랜덤으로 생성해 혼란을 가중 시키는 코드도 포함돼 있다.

최 연구원은 “이 가운데 공격타입이 GET 방식과 POST 방식으로 두 종류가 프로그램 돼 있었지만 모든 공격이 POST 방식은 이용하지 않고 GET 방식으로만 이뤄졌다”며 “의도적으로 한 가지 공격방법을 이용한 건지는 파악되지 않지만 두가지 방법을 이용했을 경우 더욱 방어하기 힘들었을 것”이라고 말했다.

속도면에서는 GET 방식의 공격이 더 빠르고, POST는 추가 데이터가 있을 경우 활용이 가능하다는 것. 즉 POST 방식을 이용했을 경우 서버나 클라이언트 둘 다 부하를 줄 수 있다는 설명이다. 공격자의 의도를 파악할 순 없지만, 코드 상에서는 POST 공격을 위한 추가데이터가 없었기 때문에 공격당시 POST 방식을 이용하려하지 않았을 수 있다고 말했다.

 

▲공격 시간에 대한 정보 추출 ⓒ최상명

 

공격은 해당 패킷을 반복적으로 발송하면서 진행된다. 공격은 0.13초 간격으로 반복되도록 돼 있다. 아울러 PC의 시간 정보를 읽어내고 공격 정보에서 8바이트의 시간정보를 받아 정해진 시간에 공격하도록 돼 있다.

최 연구원은 공격은 미국에서 먼저 시도된 것으로 파악된다고 설명한다. 공격데이터 정보는 모두 미국사이트로 7월 5일(현지시간 4일) 2시부터 14시까지 12시간동안 공격하도록 돼 있다. 4일은 미국의 독립기념일이기 때문에 정치적인 연관성이 있을 수도 있다고 언급했다. 본격적으로 한국이 포함된 1차공격 당시, 공격자는 한국과 미국 사이트의 공격시간을 다르게 함으로써 주요 시간대 공격을 노렸다고 설명한다. 2차 공격과 3차 공격은 대부분 한국 사이트를 목표로 하고 있으며 공격시간도 24시간으로 늘려 공격을 시도했다고 밝혔다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>