lazarusholic

Everyday is lazarus.dayβ

7.7 DDoS 분석

2009-07-22, TeamCrack
http://teamcrak.tistory.com/110
#7.7DDoS #DDoS #Finance #Government

Contents

7.7 DDoS 분석 (New Version)취약점 분석/2009년 이후 2009. 7. 22. 15:26
7.7 DDoS 분석
By minams ([email protected])
By Ju Se Hong ([email protected])
I. 공격분석
7.7 DDoS 공격은 2009년 7월 4일 미국 주요사이트들을 대상으로 공격이 시작되었으며, 국내 최초공격은 7월 7일 PM 6~7시경 민간 및 공공 서비스에서 시작되었습니다. 이후, 정부, 공공, 민간기업 등을 주요대상으로 하여 7월 10일 00시까지 공격이 계속되었으며, "인터넷 대란 시즌2", "7.7 DDoS 공격"으로 불리고 있습니다.
7월14일 현재 DDoS 공격, 하드디스크 파괴, 대량메일 발송 등의 공격 매커니즘은 분석 되었으나, 아직 공격 클라이언트의 전파 경로 및 원인에 대한 분석은 이루어지지 않고 있습니다.
II. 공격 분석
7.7 DDOS 공격은 대상 및 공격을 최초 감염시킨 Msiexec.exe(Windows Installer)를 통해 다운받아 실행시키는 구조를 가지고 있었습니다. 다시 다운받은 악성코드들은 스스로 대상 및 공격코드를 생성하여 다양한 공격을 수행하고 있었습니다.
1. 개요
공격에 사용된 주요 파일과 역할 입니다.
[표 1] 분석 악성코드 및 역할 파 일 명 내 용 Msiexec.exe 최초 악성코드 전파 파일 msiexec1.exe wmiconf.dll, uregvs.nls, vme.bat 생성 및 WmiConfig 서비스 등록 msiexec2.exe uregvs.nls, vme.bat 생성 msiexec3.exe uregvs.nls, …