DDoS 공격 대응 가이드 (중소기업 대상)

DDoS 공격 대응 가이드

사이버대피소에서 작성한 중소기업을 위한 가이드입니다.
이 가이드는 DDoS(Distributed Denial of Service,분산서비스 거부) 공격에 대한 대응 방안을 안내합니다.

DoS(Denial of Service) 공격은 정상적으로 네트워크 및 시스템을 사용할 수 없게 만드는 시도이다.
(예: 인터넷 쇼핑몰 웹사이트 서비스 이용 불가)

DoS 공격으로 인해 사용 가능한 네트워크 및 시스템 리소스 속도가 느려지거나 서버가 손상 될 수 있다.

DoS 공격이 불특정 다수에 의해 동시 다발적으로 발생하면 DDoS(Distributed Denial of Service) 공격이라고 한다.

일반적인 DDoS 공격은 공격자가 공격 대상 서버 및 네트워크에 직접 많은 양의 악의적인 트래픽을 전송할 때 발생한다.

공격자가 할 수 있는 공격 방법 중 하나는 봇넷을 이용하여 트래픽을 전송하는 것이다.

봇넷은 공격 도구로 이용하기 위한 악성코드에 감염된 수 많은 좀비(숙주)시스템이며 인터넷을 통해 연결되어 서로 통신하고 제어할 수 있다.

위 그림에서 알 수 있듯이 공격자가 봇넷을 사용하여 DDoS를 수행하면 봇넷에 연결된 좀비들 중 일부 또는 전부가 공격을 수행하게 된다.

따라서 DDoS는 피해자 리소스에 과부하를 유도하게끔 규모를 확대하게 되어 여러 네트워크에서 발생하게 되고 가능한 여러 국가에서 발생 하는 것이다.

반사 DDoS 공격은 공격자가 IP 주소를 도용할 때 발생한다. 정상적인 서버에 서비스 요청을 보낼 때 공격자가 자신의 IP 주소가 아닌 공격 대상 시스템의 IP 주소를 도용하여 서비스를 요청하면 정상적인 웹서버 측에서는 요청 받은 서비스에 대한 응답을 도용된 IP 주소(피해자)로 보내게 된다.

또한, 공격 효율성을 높이기 위해 피해자에게 전송되는 응답이 해당 요청보다 큰 증폭 기술이 일반적으로 함께 사용된다.

 ☞ 첨부파일 : 중소기업대상DDoS공격대응가이드

o DDoS 공격대응 가이드
 https://cafe.naver.com/rapid7/3126

o 멤캐시드(Memcached) DDoS 공격
https://cafe.naver.com/rapid7/3142

DDoS공격 모의 훈련 서비스
DDoS 방어 솔루션

컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS 
070-7867-3721, ismsbok@gmail.com

멤캐시드(Memcached) DDoS 공격

 뉴딜코리아 홈페이지 

멤캐시드(Memcached) DDoS 공격

오픈소스 커뮤니티 '깃허브'에 사상최대 디도스 공격

1.35Tbps 규모 공격, 9만개 이상 시스템 공격 노출


멤캐시드(Memcached) 서버를 이용한 DDoS 공격으로, 수많은 좀비 PC를 감염시킨 뒤 일제히 공격 명령을 내려 목표를 마비시키는 기존 DDoS와는 달리 위장된 명령어를 멤캐시드 서버에 보내 공격을 ‘반사 및 증폭’ 시켜 막대한 양의 트래픽을 발생시키는 매우 위협적인 신종 공격

고유한 공격 방식 때문에 ‘멤캐시드 DRDoS’로도 불리는 이 공격은 멤캐시드 서버 IP주소의 기본 포트인 11211번 포트로 특정 명령의 UDP 패킷을 전송해 목표로 삼은 대상에게 원래 패킷보다 수배 증폭된 패킷을 보낸다.

이론상으로는 최대 5만 배까지도 증폭이 가능한 것으로 알려졌다.

이런 멤캐시드 서버 DDoS는 해외 오픈소스 소프트웨어(SW) 개발 커뮤니티‘깃허브(GitHub)’에 1.36Tbps 규모의 공격을 가했고, 얼마 전에는 해외의 한 기업에 1.7Tbps 규모의 공격을 가해 역대 최대 규모 DDoS 공격 기록을 갱신했다.

멤캐시드 서버에서 발생하는 UDP 반사 공격으로 현재 9만개 이상의 취약한 시스템이 이 공격에 노출, 이처럼 위협적인 멤캐시드 DDos 공격은 그동안 주로 기업의 대형 서버를 대상으로 이뤄져 각 기업들의 보안에 비상

Memcached 취약점을 이용한 DDoS 증폭 공격에 관련된 기사가 이어지는 가운데, 이 공격을 중단시킬 수 있는 킬스위치(Killswitch)가 발견되었다는 기사가 공개되었다.

Memcached의 취약점을 이용한 DDoS 공격이 나날이 신기록을 갱신하는 가운데, 누군가 증폭공격(amplification attack)의 개념증명(PoC, Proof-of-Concept)코드를 공개해 상황이 더 악화되는 것으로 보였다.

GitHub은 최초 공격대상으로 1.35Tbps의 DDoS를 겪었으며, 알려지지 않은 미국의 회사는 1.7Tbps라는 사상최고치의 DDoS 공격을 당했다.

그러나 이번에는 Coreno Network Security에서 Kill Switch를 발견했으며, 이 DDoS 공격을 예방할 수 있다고 밝혔다.

연구자들에 따르면, 이번에 확인된 킬 스위치는 악성 페이로드를 포함한 취약한 서버의 캐시를 무효화해서, DDoS 공격을 제어하기 위한 명령을 공격자의 서버로 되돌려보낸다.

Corero의 연구자들은 이미 공격 서버에 대해 테스트를 진행하고 100% 효과적임을 확인했다고 밝혔다.


■ 첨부 : 멤캐시드DDoS공격리포트

ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급

(070-7867-3721, ismsbok@gmail.com)

IoT 기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의

 뉴딜코리아 홈페이지 

IoT 기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의

□ 개요
  o IoT기기를 대상으로 한 미라이 봇넷(Mirai Botnet)이 국외에서 발견
    ※ 미국 동부 대규모 DDoS 공격에 사물인터넷(IoT) 악용[1]

  o 미라이 봇넷에 감염 시 DDoS 공격에 악용될수 있어 사용자 주의가 필요함

□ 주요 내용
  o 미라이 악성코드는 관리자 계정설정이 취약한 IoT 단말(CCTV, NAS 등)에 스캐닝 및 접속하여 악성코드를 전파함
    ※ IoT 장비의 초기 패스워드를 이용하여 로그인을 시도함

  o 악성코드에 감염된 IoT기기는 명령지 서버의 명령에 따라 DDoS 공격을 수행함
    ※ TCP, UDP, HTTP Flood, DNS DRDoS등의 DDoS 공격 수행

□ 대응 방안
  o 인터넷에 연결된 IoT장비(공유기, NAS, CCTV, CAM등)의 초기 관리자 패스워드를 변경
    ※ 초기 관리자 패스워드를 복잡도가 높은 패스워드로 변경 권고

  o 상기 명시된 대상 장비에 원격접속이 불가능하도록 사용하지 않는 서비스 포트의 사용해제 설정
    (ex : SSH(22), Telnet(23) 등)

□ 기타 문의사항
  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
  o 뉴딜코리아 컨설팅사업부 취약점 분석팀 (070-7867-3721, ismsbok@gmail.com)

[참고사이트]
https://community.rapid7.com/community/infosec/blog/2016/10/25/mirai-faq-when-iot-attacks
https://community.rapid7.com/community/infosec/blog/2016/11/08/election-day-tracking-the-mirai-botnet

100만개 이상의 넷기어 라우터, Hijack 취약점에 노출 가능

 뉴딜코리아 홈페이지
http://cafe.naver.com/rapid7/2771

100만개 이상의 넷기어 라우터, Hijack 취약점에 노출 가능

개요
  •보안 전문업체 Trustwave社는 31개의 넷기어 라우터 모델에서 패스워드 우회와 장치제어가 가능한 취약점이 발견되었다고 발표


주요내용

 • 넷기어 라우터의 웹 관리 서버에 대한 간단한 조작으로 패스워드 노출 가능

-​​ Trustwave에 따르면 1차적으로 파이썬 스크립트를 작성하여 31개의 넷기어 라우터 모델에서 영향을 받는 것으로 확인했지만, 해당 취약점에 영향을 받는 모델이 더 많을 것으로 예상

- 미라이(Mirai) 악성코드를 이용하여 DDoS 공격을 수행할 경우 최소 1만개 이상의 넷기어 라우터가 백만 개 이상의 잠재적인 봇넷으로 이용될 수 있음

• 넷기어, 취약점 공개 후 부분적 패치 발표

-​​ Trustwave에 따르면 해당 연구결과는 발견 즉시 넷기어에 보고되었지만 현재 단 18개의 취약한 라우터 모델에 대해서만 패치를 발표

- ​​R8000, R7000, R6400 모델에 Command Injection 취약점이 발생한지 불과 한 달 만에 해당 취약점이 발견되어 주의가 필요

• Trustwave에서 발견한 취약점은 다음과 같은 이유로 노출되지 않도록 주의가 필요

- 많은 수의 넷기어 라우터 모델에 영향을 미침

- 인터넷을 통해 라우터의 원격 관리가 가능하도록 설정된 경우 공격자가 원격에서도 공격이 가능하며 취약한 라우터에 물리적으로 엑세스 할 수 있는 사람은 누구나 로컬에서 공격이 가능함

- DNS를 악성 프로그램으로 쉽게 변경하여, 네트워크의 모든 컴퓨터를 멀웨어에 감염시킬 수 있음
 
[출처]
1.ComputerWeekly.com, “More than a million Netgear routers feared vulnerable to hijack”, 2017.01.31.

IT 서비스의 관문 DNS서버 보안의 중요성

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2722

 

IT 서비스의 관문 DNS서버 보안의 중요성

최근 넷플릭스 , 트위터 , 뉴욕타임즈 등과 같은 인터넷 서비스가 해커들의 DDoS 공격으로 서비스 장애를 일으켰다.   그런데 그 원인이 서비스 서버의 DDoS 공격이 아닌 DNS 서비스를 제공해주는 서비스 서버를 공격함으로 인터넷 서비스 자체에 접속을 못하게 하는 방법이었다.

해커들의 서비스 장애 유발 방식이 점 점 변화하고 있는 것이다.

본 보고서는 최근 DDoS 공격 대상의 변화와 DNS의 중요성에 대해서 살펴보고 앞으로 어떻게 DNS 서비스를 바라봐야 하는지 그 시각 변화에 대해서 방법을 모색해보고자 한다.

I.   인터넷 서비스 서버가 아닌 DNS서버의 DDoS 공격 발생
II.  DDoS 공격 대상의 변화
III. 서비스 서버의 보안만큼이나 DNS서비스 보안도 중요

첨부파일 :  IT 서비스의 관문 DNS서버 보안의 중요성

SW 업데이트 체계 보안 가이드라인

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2340

SW 업데이트 체계 보안 가이드라인

​

​

ㅇ SW 업데이트 체계의 취약점을 악용하여 악성코드를 대량으로 확산시키는 것을 예방하기
    위한 SW 업데이트 체계 보안 가이드라인
- 최근 해커들은 정상적인 SW 업데이트 과정에 개입하여 대량의 PC를 악성코드에 감염된 좀비 PC로 만들고 DDoS 공격 및 디스크를 삭제하는 방법을 통해 사이버 공격을 감행

- 미래부는 원천적인 문제해결과 청정한 ICT 환경을 만들기 위하여 지난 3월부터 국가보안기술연구소(이하 국보연)와 공동으로 국민들이 주로 사용하는 SW의 업데이트 체계를 점검하고, 발견된 보안 문제점이 재발되는 것을 방지하기 위해 SW 업데이트 체계 보안 가이드라인을 개발·배포 ~


[첨부] :  http://cafe.naver.com/rapid7/2340
 SW업데이트체계보안가이드라인-v2.2.hwp
 코드서명_검증_개발자가이드.pdf
 샘플프로그램.zip
 코드서명검증모듈.zip

[관련문의처]미래부 정보보호기획과
뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)