7.7 DDoS, 제 3의 인터넷 대란 일어날까? 금일 지인으로 부터 하나의 파일을 전달받았다. 파일 이름부터가 왠지 위험해보이는 느낌이 확 들었다 ㅠ.ㅠ 파일을 잠시 까보니 DDos 모듈로 보이는 코드가 발견되었으며, 실제 작년 7.7 DDos에 공격타겟이 들어가 있던 uregvs.nls 파일을 찾는 모습이 확인되었다. - uregvs.nls 파일 내용(하하하~ 어디서 많이 보던 ㅡ.ㅡa) www.whitehouse.gov www.chosun.com mail.naver.com mail.daum.net www.ahnlab.com www.mnd.go.kr 감염 된 PC에서 약 1분 단위로 해당 사이트에 접속 하는 것으로 보여진다. 또한 작년과 동일한 IP까지 확인되었다 ㅠ.ㅠ 작년 7.7 DDoS를 겪은 분들은 이 아이피를 잊지 못한다. 아직 정확한 분석.. 2010. 5. 17. [77DDoS]DDoS 공격 2차 분석 - 추가내용 1. 악성 행위 2차 분석과 동일 하나 추가 된 분석자료 입니다. 1) 공격 대상 웹사이트 리스트 (uregvs.nls) - 7월 9일 18:00 ~ 7월 10일 18:00 까지 공격 리스트(7월 8일 이후 추가/발견 된 공격 사이트 리스트는 없음) mail.naver.com (네이버 메일) mail.daum.net (다음 메일) mail.paran.com (파란 메일) www.egov.go.kr (전자정부 사이트) www.kbstar.com (국민은행) www.chosun.com (조선일보 사이트) www.auction.co.kr (옥션 사이트) 2) 스팸메일 발송 - Independence으로 부터 스팸메일이 발송 된다. 제목은 "Memory of the Independence Day" 로 추정된다... 2009. 7. 9. [77DDoS]DDoS 공격 2차 분석 7월 8일 오후 6시를 중심으로 2차 공격이 시작되었으며, 1차 공격과는 다른 패턴을 가지고 있다. 1. 악성 행위 2차 공격은 공격대상이 담겨있는 uregvs.dll이 변경되었으며, 직접공격하는 dll파일은 동일 하다. 특이사항으로는 여러가지 확장자를 압축하고, 압축 한 원본파일은 삭제 하는 악성파일(V.TRJ.Ransum.MotID )이 새로 등장하였다. 1) 파일생성 %PROFILE%\Local Settings\Temp\msiexec6.exe (V.TRJ.DDoS.Agent.33841) C:\WINDOWS\system32\wversion.exe (V.TRJ.Ransom.MotID) C:\WINDOWS\system32\uregvs.nls (V.TRJ.DDoS.Agent.nls) 2) 공격 대상 웹사.. 2009. 7. 9. [77DDoS]DDoS 공격 1차 분석 1. 감염 경로 현재는 알 수 없음 2. 악성 행위 기존의 DDos의 공격과는 달리 C&C서버 명령어 없이 감염 된 PC에서 직접적으로 사이트에 대한 DDos 공격을 시도합니다. msiexec1.exe 에서 wmiconf.dll과 uregvs.nls 파일이 생성되며, uregvs.nls 파일에는 공격대상 웹사이트 리스트와 공격방법이 기재되어 있으며, dll 파일에서 불러와 GET Flooding 공격을 하는 것이 이번 DDoS의 원리입니다. 1) 파일생성 %PROFILE%\Local Settings\Temp\msiexec1.exe (V.TRJ.DDoS.Agent.33841) %PROFILE%\Local Settings\Temp\msiexec2.exe (V.TRJ.DDoS.Agent.33841) %PROF.. 2009. 7. 9. 이전 1 다음
