리눅스 분류
스팸 Bot을 이용한 피싱 스팸 발송 시스템 분석 보고서
작성자 정보
- 웹관리자 작성
- 작성일
컨텐츠 정보
- 4,845 조회
- 0 추천
-
목록
본문
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
스 팸메일 발송으로 이용된
악성 Bot 감염 시스템 분석보고서
2005. 4. 28
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명
시하여 주시기 바랍니다.
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
목 차
1. 개요 ………………………………………………………1
2. 피해 시스템의 주요 증상 ……………………………1
3. 주요 악성 Bot 관련 정보 ………………………………2
4. 시스템 피해 분석 ………………………………………4
5. 결론 ………………………………………………………9
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 1 -
1. 개요
o 2005년 4월 15일 Welchia 트래픽이 급증하는 현상을 발견하여 관련 트
래픽을 발생하는 해당 민간시스템 분석을 수행하였다.
o 해당 시스템은 Windows XP Pro(SP1) 이며 악성 Bot에 감염되어 스팸
메일 발송 용도로 악용되고 있었다.
2. 피해 시스템의 주요 증상
o 피해 시스템은 악성 Bot에 감염되어 특정 Botnet C&C(명령/제어) 에
접속하여 취약점을 이용한 추가 감염 시도 트래픽 발생 및 SPAM 메
일을 전송하고 있었다.
o 피해시스템은 악성 Botnet C&C 서버로부터 MS DCOM2 취약점을 이용
한 추가 전파를 시도하였으며, 또한 해당 시스템에는 Welchia 웜 파일이
발견되었다. 이때 DCOM 취약점을 이용한 추가 전파에 의하여
TCP/135 트래픽을 발생 하였으며, Welchia 웜에 의하여 ICMP 트래픽
도 같이 발생하였다.
- 이와같이 하나의 시스템에 악성 Bot에 감염과 Welchia 웜이 같이 감
염되는 경우는 흔하지 않는 경우이나, 해당시스템은 악성 Bot 과
Welchia 웜이 같이 감염된 경우다. 하지만 Welchia 웜 또한 악성 Bot
과 연관이 있는 것으로 추정된다. 이유는 악성 Botnet C&C의 명령 중
wormride -s -t 부분인데, 아마도 이 부분이 Worm 과 관련이 있는 것
으로 보인다.
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 2 -
3. 주요 악성 Bot 관련 정보
o Botnet DNS RR : XXXX.worldwideXXXXXXX.com
XXXXX.worldwideXXXXXXXX.com. 44471 IN A XXX.XXX.195.61
;; AUTHORITY SECTION:
worldwideXXXXXXX.com. 44471 IN NS ns2.for-hosting.com.
worldwideXXXXXXX.com. 44471 IN NS ns1.unlhost.com.
worldwideXXXXXXX.com. 44471 IN NS ns1.for-hosting.com.
worldwideXXXXXXX.com. 44471 IN NS ns2.unlhost.com.
dns.sdf2sd43ed.info. 1501 IN CNAME
XXXXX.worldwideXXXXXXXX.com.
XXXXX.worldwideXXXXXXXX.com. 36249 IN A XXX.XXX.195.61
;; AUTHORITY SECTION:
worldwideXXXXXXX.com. 36249 IN NS ns2.unlhost.com.
worldwideXXXXXXX.com. 36249 IN NS ns2.for-hosting.com.
worldwideXXXXXXX.com. 36249 IN NS ns1.unlhost.com.
worldwideXXXXXXX.com. 36249 IN NS ns1.for-hosting.com.
※ 위의 BOTNET C&C는 KISC(인터넷침해사고대응지원센터) 에서 실제 2월 24
일 탐지된 것임
o IP : XXX.XXX.195.61
o Botnet 접속 포트 : TCP/8080
o IP 정보
ASN | IP | Name
5617 | XXX.XXX.195.61 | TPNET Polish Telecom's commerc
o Botnet 크기 : 8천여개 감염 시스템으로 구성
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 3 -
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 4 -
4. 시스템 피해 분석
1) Botnet C&C 명령 전파 방법
o Botnet 운영자는 MS DCOM 취약점 전파 및 Proxy Agent를 다운받
도록 악성 Bot 감염 시스템들에게 전달
※ IRC Channel의 Topic으로 악성 Bot 감염 IP들에게 명령을 전달함. 주요
전달 명령은 DCOM 취약점(DCOM2 -S 및 WORMRIDE -S) 을 이용하여
추가 적인 전파를 하며, 특정 사이트에서 Spam 전송용 proxy 파일을 다운
받도록 함
2) Dcom 취약점 전파 및 Welchia 웜
o 아래 그림에서 보듯이 감염 시스템은 C&C 서버로부터 명령을 전달
받아 자신의 IP 대역중 B Class 대역에 대하여 순차적으로 추가적인
전파를 위한 Scanning 을 함
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 5 -
※ 악성 Bot파일을 가져와 테스트 시스템에서 테스트 한 결과. 악성 Botnet
C&C에 의하여 Dcom 취약점을 이용하여 추가전파을 위한 트래픽 발생
(TCP/135)
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 6 -
※ Welchia 웜에 의하여 발생한 트래픽, 실제 파일은 Wehchia웜과 같은
파일로서 Botnet이 전파를 위해 사용하였을 수 도 있음
※ Botnet의 Topic에 WORMRIDE 와 연관이 있는 듯 함
o 위와 같은 Scanning 시도를 할 때 2003년에 나타난 Welchia 웜 증상
과 같음. 기존의 Welchia 분석 문서는 다수 존재하므로 본 보고서에
서는 Welchia에 대한 분석내용은 생략함.
실제
Welchia 웜 트래픽 발생(변종은 아님)
※ 실제 대부분의 IDS Type의 시스템은 위와 같은 공격을 Welchia로 탐지
하고 있음
☞ 실제 악성 Bot 샘플을 가지고 테스트 했을때는 Welchia 웜에서 발생
하는 ICMP 트래픽은 발생하지 않았으며, 단지 ICMP TTL Exceed
Traffic만 발생함.
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 7 -
3) SPAM 발송용 Proxy
o 대부분의 악성 Botnet 운영자가 그러하듯 이번에 발견된 악성 Bot 또는
SPAM 발송을 위해 생성된 Botnet 으로 판명됨.
o 실제 SPAM의 약 70∼80% 정도가 Botnet의하여 발생되고 있음
o demm.exe 파일은 실제 Botnet C&C가 감염시스템에게 특정 사이트
에서 다운로드 받아 설치 하도록 하는 파일임
o 특정 사이트 :
http://XXX.XX.222.98/~gilt/windns.exe
ASN | IP | Name
21698 | XXX.X.222.98 | NEBRIX-CA - Nebrix Communicati
※ 실제 SPAM 발송을 위하여 SPAM 메일을 전달받는 사용자의 SMTP 서버
(TCP/25) 에 접속
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 8 -
※ 실제 메일 전송 Traffic Capture 내역
o 대응지원센터는 2월 및 3월에 위의 SPAM Porxy에 대하여 국내
백신업체들에게 샘플을 전달하여 백신 업데이트를 요청하였다.
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 9 -
5. 결론
o 이번에 발견된 Botnet 또한 전형적인 SPAM 발송용 Botnet으로서 국
내의 많은 Network 대역들이 SPAM Black List에 등록이 되어 있는
데, 이러한 악성 Bot에 대한 전반적인 대책이 요구된다.
o 악성 Bot이 여러 취약점 및 Worm의 Plug-in 기능을 이용하여 다각
도록 추가적인 전파를 하고 있어 이에 대한 대책이 필요하다.
o 이번 피해시스템의 경우 악성 Bot과 Welchia 웜이 같이 감염이 되어
있어 언뜻 보기에 트래픽이 Welchia 웜에 감염된 걸로 보일 수 있으
나, 실제로는 악성 Bot에 감염되어 추가적인 전파를 위한 대량의
Scanning 트래픽 발생 및 Proxy를 통한 대량의 SPAM Mail 을 발
생하고 있었다.
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
스 팸메일 발송으로 이용된
악성 Bot 감염 시스템 분석보고서
2005. 4. 28
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명
시하여 주시기 바랍니다.
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
목 차
1. 개요 ………………………………………………………1
2. 피해 시스템의 주요 증상 ……………………………1
3. 주요 악성 Bot 관련 정보 ………………………………2
4. 시스템 피해 분석 ………………………………………4
5. 결론 ………………………………………………………9
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 1 -
1. 개요
o 2005년 4월 15일 Welchia 트래픽이 급증하는 현상을 발견하여 관련 트
래픽을 발생하는 해당 민간시스템 분석을 수행하였다.
o 해당 시스템은 Windows XP Pro(SP1) 이며 악성 Bot에 감염되어 스팸
메일 발송 용도로 악용되고 있었다.
2. 피해 시스템의 주요 증상
o 피해 시스템은 악성 Bot에 감염되어 특정 Botnet C&C(명령/제어) 에
접속하여 취약점을 이용한 추가 감염 시도 트래픽 발생 및 SPAM 메
일을 전송하고 있었다.
o 피해시스템은 악성 Botnet C&C 서버로부터 MS DCOM2 취약점을 이용
한 추가 전파를 시도하였으며, 또한 해당 시스템에는 Welchia 웜 파일이
발견되었다. 이때 DCOM 취약점을 이용한 추가 전파에 의하여
TCP/135 트래픽을 발생 하였으며, Welchia 웜에 의하여 ICMP 트래픽
도 같이 발생하였다.
- 이와같이 하나의 시스템에 악성 Bot에 감염과 Welchia 웜이 같이 감
염되는 경우는 흔하지 않는 경우이나, 해당시스템은 악성 Bot 과
Welchia 웜이 같이 감염된 경우다. 하지만 Welchia 웜 또한 악성 Bot
과 연관이 있는 것으로 추정된다. 이유는 악성 Botnet C&C의 명령 중
wormride -s -t 부분인데, 아마도 이 부분이 Worm 과 관련이 있는 것
으로 보인다.
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 2 -
3. 주요 악성 Bot 관련 정보
o Botnet DNS RR : XXXX.worldwideXXXXXXX.com
XXXXX.worldwideXXXXXXXX.com. 44471 IN A XXX.XXX.195.61
;; AUTHORITY SECTION:
worldwideXXXXXXX.com. 44471 IN NS ns2.for-hosting.com.
worldwideXXXXXXX.com. 44471 IN NS ns1.unlhost.com.
worldwideXXXXXXX.com. 44471 IN NS ns1.for-hosting.com.
worldwideXXXXXXX.com. 44471 IN NS ns2.unlhost.com.
dns.sdf2sd43ed.info. 1501 IN CNAME
XXXXX.worldwideXXXXXXXX.com.
XXXXX.worldwideXXXXXXXX.com. 36249 IN A XXX.XXX.195.61
;; AUTHORITY SECTION:
worldwideXXXXXXX.com. 36249 IN NS ns2.unlhost.com.
worldwideXXXXXXX.com. 36249 IN NS ns2.for-hosting.com.
worldwideXXXXXXX.com. 36249 IN NS ns1.unlhost.com.
worldwideXXXXXXX.com. 36249 IN NS ns1.for-hosting.com.
※ 위의 BOTNET C&C는 KISC(인터넷침해사고대응지원센터) 에서 실제 2월 24
일 탐지된 것임
o IP : XXX.XXX.195.61
o Botnet 접속 포트 : TCP/8080
o IP 정보
ASN | IP | Name
5617 | XXX.XXX.195.61 | TPNET Polish Telecom's commerc
o Botnet 크기 : 8천여개 감염 시스템으로 구성
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 3 -
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 4 -
4. 시스템 피해 분석
1) Botnet C&C 명령 전파 방법
o Botnet 운영자는 MS DCOM 취약점 전파 및 Proxy Agent를 다운받
도록 악성 Bot 감염 시스템들에게 전달
※ IRC Channel의 Topic으로 악성 Bot 감염 IP들에게 명령을 전달함. 주요
전달 명령은 DCOM 취약점(DCOM2 -S 및 WORMRIDE -S) 을 이용하여
추가 적인 전파를 하며, 특정 사이트에서 Spam 전송용 proxy 파일을 다운
받도록 함
2) Dcom 취약점 전파 및 Welchia 웜
o 아래 그림에서 보듯이 감염 시스템은 C&C 서버로부터 명령을 전달
받아 자신의 IP 대역중 B Class 대역에 대하여 순차적으로 추가적인
전파를 위한 Scanning 을 함
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 5 -
※ 악성 Bot파일을 가져와 테스트 시스템에서 테스트 한 결과. 악성 Botnet
C&C에 의하여 Dcom 취약점을 이용하여 추가전파을 위한 트래픽 발생
(TCP/135)
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 6 -
※ Welchia 웜에 의하여 발생한 트래픽, 실제 파일은 Wehchia웜과 같은
파일로서 Botnet이 전파를 위해 사용하였을 수 도 있음
※ Botnet의 Topic에 WORMRIDE 와 연관이 있는 듯 함
o 위와 같은 Scanning 시도를 할 때 2003년에 나타난 Welchia 웜 증상
과 같음. 기존의 Welchia 분석 문서는 다수 존재하므로 본 보고서에
서는 Welchia에 대한 분석내용은 생략함.
실제
Welchia 웜 트래픽 발생(변종은 아님)
※ 실제 대부분의 IDS Type의 시스템은 위와 같은 공격을 Welchia로 탐지
하고 있음
☞ 실제 악성 Bot 샘플을 가지고 테스트 했을때는 Welchia 웜에서 발생
하는 ICMP 트래픽은 발생하지 않았으며, 단지 ICMP TTL Exceed
Traffic만 발생함.
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 7 -
3) SPAM 발송용 Proxy
o 대부분의 악성 Botnet 운영자가 그러하듯 이번에 발견된 악성 Bot 또는
SPAM 발송을 위해 생성된 Botnet 으로 판명됨.
o 실제 SPAM의 약 70∼80% 정도가 Botnet의하여 발생되고 있음
o demm.exe 파일은 실제 Botnet C&C가 감염시스템에게 특정 사이트
에서 다운로드 받아 설치 하도록 하는 파일임
o 특정 사이트 :
http://XXX.XX.222.98/~gilt/windns.exe
ASN | IP | Name
21698 | XXX.X.222.98 | NEBRIX-CA - Nebrix Communicati
※ 실제 SPAM 발송을 위하여 SPAM 메일을 전달받는 사용자의 SMTP 서버
(TCP/25) 에 접속
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 8 -
※ 실제 메일 전송 Traffic Capture 내역
o 대응지원센터는 2월 및 3월에 위의 SPAM Porxy에 대하여 국내
백신업체들에게 샘플을 전달하여 백신 업데이트를 요청하였다.
http://www.krcert.or.kr
스팸메일 발송으로 이용된 악성 Bot 감염 시스템 분석 보고서 cert@certcc.or.kr
_______________________________________________________________________________________
- 9 -
5. 결론
o 이번에 발견된 Botnet 또한 전형적인 SPAM 발송용 Botnet으로서 국
내의 많은 Network 대역들이 SPAM Black List에 등록이 되어 있는
데, 이러한 악성 Bot에 대한 전반적인 대책이 요구된다.
o 악성 Bot이 여러 취약점 및 Worm의 Plug-in 기능을 이용하여 다각
도록 추가적인 전파를 하고 있어 이에 대한 대책이 필요하다.
o 이번 피해시스템의 경우 악성 Bot과 Welchia 웜이 같이 감염이 되어
있어 언뜻 보기에 트래픽이 Welchia 웜에 감염된 걸로 보일 수 있으
나, 실제로는 악성 Bot에 감염되어 추가적인 전파를 위한 대량의
Scanning 트래픽 발생 및 Proxy를 통한 대량의 SPAM Mail 을 발
생하고 있었다.
"무단배포금지: 클라우드포털(www.linux.co.kr)의 모든 강좌는 저작권에 의해 보호되는 콘텐츠입니다. 무단으로 복제하여 배포하는 행위는 금지되어 있습니다."
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
