DDos 관련 정보

보안업체 메일 수신분..
참고하실분은 참고 바람.

7일과 8일에 국내와 미국에 발생한 DDoS공격 관련 정보 및 Hotfix가 있어 전달 드리오니 참고하여 주시기 바랍니다.

DDoS(Distributed Denial of Service)에 대해 간단히 말씀드리면 악성 프로그램으로 인해 내 컴퓨터가 쥐도 새도 모르게 타인의 좀비가 되어 특정일자(Zero Day)에 특정 목표(웹사이트 등)로 다른 좀비컴퓨터와 함께 일제히 공격을 시도하는 해킹방법입니다.

자세한 내용은 아래를 참고 하여 주시기 바랍니다.

[DDoS란?]

n  복수의 네트워크에 분산되어 있는 대량의 컴퓨터가 일제히 특정의 서버에 패킷(packet)를 송출해서, 통신로를 넘쳐나게 하여 기능을 정지 시켜버리게 하는 공격을 의미합니다.

n  실제로 패킷을 보내는(공격을 실행하는) 컴퓨터의 관리자나 이용자에게 공격의 의도가 없으나, 외부의 악의를 갖은 제 3자(cracker)에게 컴퓨터를 조종 당해서, 이용자도 모르는 사이에 서버의 공격을 감행 하도록 하는 것이 특징입니다.

n  Cracker는 공격 대상과는 무관계인 다수의 컴퓨터로 침입을 해서, 사용자가 모르게끔 공격 실행용의 프로그램(트로이의 목마)를 몰래 설치 하도록 계획하며, 공격을 개시하는 때에는 미리 계획했던 트로이의 목마에 대해서, 일제히 패킷의 송출 명령을 발신합니다.

n  표적이 된 서버에는 트로이의 목마가 설치 된 컴퓨터로부터 패킷을 받기 때문에, 공격을 당하는 서버는 실제의 공격원인「배후 인물」에 해당하는 컴퓨터를 찾아내는 것이 어렵습니다.

 [관련정보]

n  공격을 수행한 악성코드는 파일명 ‘msiexec2.exe(파일길이 : 33,841 바이트)’으로 V3 진단명은  ‘Win-Trojan/Agent.33841’입니다.

n  이 파일은 실행될 때 ‘uregvs.nls’ 파일을 생성하며, 이 EXE 파일에는 코드 내부에 공격 리스트를 담고 있다고 합니다.

 [감염PC 스캔,치료,예방]

n  아래 방법들을 이용하여 스캔, 치료 및 예방하실 수 있습니다.

1)     하우리 msiexec2.exe 전용스캔,치료
http://hauri.co.kr/customer/download/vaccine_view.html?uid=69&page=1

2)     INCA nProtect Removal Tool
http://www.nprotect.com/v6/data/index.php?mode=vs_down_view&no=279

3)     MS원격 코드 실행을 허용할 Microsoft 비디오 ActiveX 컨트롤 FIX사이트
(Windows XP 또는 Windows Server 2003을 사용하시는 분들은 바로 적용 권장)

http://support.microsoft.com/kb/972890

4)     NSHC MS SirectShow (msvidctl.dll)취약점 보안패치- Zero Day Attack방지
http://www.nshc.net/bbs.php?table=sub_nshc_04_01&query=view&uid=626

5)     네이버PC그린설치하여 치료
http://security.naver.com/info/emergency.nhn

 [참고자료]

n  Microsoft Security Advisory: Vulnerability in Microsoft Video ActiveX control could allow remote code execution

http://support.microsoft.com/kb/972890

n  Vulnerability in Microsoft Video ActiveX Control Could Allow Remote Code Execution

http://www.microsoft.com/technet/security/advisory/972890.mspx