[참고] Worm 사고에 관한 경험담..

안녕하세요..

이번 Worm 사고에 대한 개인적인 경험담입니다.

틀린 부분이 있거나 잘못된 내용이 있으시면 바로잡아 주십시오.

----------------------------------------------------------------------------------

MS-SQL의 1434 udp 포트를 막지 않은 시스템이나 패치가 가하지 않는 시스템을 공격.
공격당한 시스템은 3823, 2520, 1070, 3203 등의 UDP port( random port 인지 정확하지 않음 )
로 Daemon이 떠있고 주로 외국망의 random IP로 1434 udp port로 공격진행.
공격 진행시 엄청난 트래픽 유발.

공격당한 서버는 sqlservr.exe ( MS-SQL daemon )를 이용하여 특정 UDP 데몬이 띄워지고
sqlservr.exe 파일을 변조 하지 않는 것으로 보아 메모리에 공격 코드를 Load 함.

리부팅 하면 메모리에 Load된 공격코드가 삭제. worm 코드가 남아 있지 않지만
감염된 서버가 random IP로 공격을 진행하므로 재공격당해 서버가 감염되는 경우가 있음.

공격당한 서버는 대량은 트래픽을 Outbound ( 대량의 트래픽 Inbound도 보이나 이 경우는
다른 공격당한 서버로부터 재공격시 발생하는 트래픽인듯합니다. ) 하고
Linux 및 Unix 계열은 대량의 트래픽을 Inbound ( worm에 의한 패킷 유입 )한다.

사용할 수 있는 Bandwidth를 거의 소모 시키는 것이 특징.
많은 수의 Windows 서버가 감염되어서 동시에 엄청난 양의 패킷을
Inbound, Outbound 함으로 Router나 Switch등의 장비들이 Down 되는 증상이 나타남.

즉, Worm으로 인한 대량의 트래픽이 사용 가능한 Bandwidth를 거의 대부분 소모시키고
그리인해 Router, Switch등의 장비들이 다운되어 Routing이 막혀 인터넷 마비.
( 해당 장비들이 Down 되지 않더라도 사용가능한 모든 대역폭들을 웜이 사용을 해버림으로써
  사실상 회선을 사용 할 수 없었습니다. )
그리고 국내 최상위 DNS 가 감당하기 어려운 request 유입으로 시스템 다운.
domain을 사용해 해당 site들을 접근 할 수 없거나 E-mail등을 주고 받을 수 없는 사태 발생.
( 이 부분에 대해서는 정확한 자료가 없는 관계로 추정하고 있습니다. )

----------------------
참고 :

windows가 10여대 있고 30여대가 Linux, Freebsd인 100M Dedicate 회선에서
초당 PPS(초당 패킷수)가 10000여회 이상 나타남.
( 거의 대 다수가 공격당한 서버에서 random IP로의 udp 공격 패킷이었습니다. )
대역폭 100M 모두 사용.( Load 100% )
Test로 약 2~3의 windows만 랜선을 유지시켜도 대역폭을 거의 대부분 소모함.
( 일부 언론 보도와는 다르게 개인적으로
Worm으로 인한 대량의 트래픽 유발, 전국 곳곳의 인터넷망에 트래픽이 유입, 유출됨으로
인터넷을 향한 DDOS Attack 으로 봐도 무방합니다.
그리고 이 공격으로 서버 자체가 다운된다든가 그런 증상은 일어나지 않았습니다. )

라우터에서 1434 udp port를 필터링 하고
내부 윈도우즈 시스템을 리부팅 하는 차원에서 초기 진화는 됐습니다.
마지막 SQL SP3를 설치함으로서 마무리 됩니다.
( 이 SQL SP3 홍보도 제때 않된것으로 압니다. )

( 2002년 여름에 SQL Overflow 패치가 상당히 까다로와서, 그리고 Kor 용 패치는 없었던 것으로 알고 있습니다. 그래서 패치는 하지 못하고 port filtering만 했던 기억이 나네요.
최근에 Windows 시스템이 홍커들에 의해서 침입당해 백도어가 설치된 상황을
당해 본 분들이 있었을것으로 압니다. 그때도 바로 이 SQL overflow 공격으로
cmd shell을 획득해 시스템을 장악했었죠.. )

----------------------

이번 사고에 대해서는 크게 이야기 하지 않아도 모든 분들이 알고 계시리라 봅니다.
모두가 보안에 대해서 관심갖지 않으면 제 2의 대란, 제 3의 인터넷 대란은
충분히 일어날 가능성이 있다고 보여집니다.

미약한 글을 읽어주셔서 감사합니다.

saricat : saricat@naver.com