2018.04.30

카스퍼스키랩, DDoS 인텔리전스 1분기 보고서 발표...“증폭 공격과 기존 봇넷의 귀환”

편집부 | ITWorld
카스퍼스키랩은 최근 봇넷을 이용한 DDoS 공격 1분기 결산 보고서를 발표했다.

카스퍼스키랩 전문가들의 말에 따르면 기존 봇넷 및 신종 봇넷의 활동이 증가하고 증폭 DDoS 공격의 빈도가 높아졌으며 여러 날 동안 지속되는 DDoS 공격도 다시 출현했다고 한다.

2018년 1분기 동안 DDoS 봇넷의 온라인 리소스 공격이 79개국에서 발생했다. 공격을 가장 많이 경험한 국가로는 중국과 미국, 한국이 다시 순위권에 등장했다. 이들 국가 모두 해킹 집단이 이용할 수 있는 서버 대수가 높은 수준이며, 따라서 호스팅되는 사이트 및 서비스의 수 또한 대단하다. 한편 최다 공격 대상 국가 10위권에는 네덜란드와 베트남이 빠지고 홍콩과 일본이 이름을 올렸다.



C&C 서버 최다 호스팅 부문 10위권의 변화는 더욱 뚜렷하다. 캐나다, 터키, 리투아니아, 덴마크가 순위에서 사라지고 이탈리아, 홍콩, 독일, 영국이 그 자리를 대신했다. 이로 미루어 볼 때 Darkai(Mirai의 복제본)와 AESDDoS 봇의 활성 C&C 서버 수가 급격히 증가하고 있으며 기존 Xor 및 Yoyo 봇넷이 활동을 재개했다고 추측할 수 있다. 이들 봇넷은 대부분 리눅스를 사용하지만 리눅스 기반 봇넷이 차지하는 비율은 2018년 1분기에 66%를 기록하며 2017년 말의 71%에 비해 약간 감소했다.



또한 오래 지속되는 DDoS 공격이 잠시 중단되는 듯했으나 최근 다시 나타난 것으로 보인다. 1분기에 가장 오래 지속되었던 DDoS 공격은 297시간, 즉 12일이 넘도록 지속됐다. 2015년 말 이후로 가장 긴 공격이다.

1분기 끝 무렵에 눈에 띈 멤캐시드(Memcached) DDoS 공격은 공격력 면에서 워낙 독보적이어서 일부 경우 1TB를 넘어서는 대규모 공격이 발생하기도 했다. 그러나 카스퍼스키랩 전문가들은 멤캐시드 공격이 성행하는 현상은 오래 지속되지 않을 것으로 예상하고 있다. 해당 공격은 공격 대상에게도 영향을 미치지만 공격 수행 시 기업들이 의도치 않게 개입되기 때문이다.



전반적으로 증폭 공격은 과거 감소세를 보였으나 1분기에 다시 추진력을 얻으면서 성행하게 되었다. 예를 들어 카스퍼스키랩은 큰 효과에도 불구하고 드물게 발생하는 공격 유형을 하나 등록했는데, 이 공격 유형에서 LDAP 서비스가 증폭기로 사용되었다. LDAP 서비스는 멥캐시드, NTP, DNS와 함께 증폭률이 가장 큰 서비스에 속한다.

그러나 멤캐시드와 달리 LDAP 정크 트래픽으로 인해 발신 채널이 막히는 일이 없기 때문에 취약점이 있는 서버의 소유주가 이상 상황을 파악하고 치료하기가 어렵다. 공격에 이용할 수 있는 LDAP 서버가 비교적 소수이기는 하지만, 이러한 유형의 공격이 앞으로 다크넷에서 인기를 끌 가능성도 있다.

카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “올해 초부터 몇 개월 동안 보아왔듯이 DDoS 공격의 피해를 입는 것은 공격 대상뿐이 아니고, 취약한 부분이 있는 인프라를 운영하는 기업들도 피해를 입는다”며, “1분기에 발생한 사건들을 통해, 기업이 운영하는 플랫폼은 취약점 패치를 정기적으로 수행하고 DDoS 공격에 대한 지속적인 보호 기능을 갖추어야 한다는 단순한 진리를 재확인할 수 있었다”고 말했다. editor@itworld.co.kr


2018.04.30

카스퍼스키랩, DDoS 인텔리전스 1분기 보고서 발표...“증폭 공격과 기존 봇넷의 귀환”

편집부 | ITWorld
카스퍼스키랩은 최근 봇넷을 이용한 DDoS 공격 1분기 결산 보고서를 발표했다.

카스퍼스키랩 전문가들의 말에 따르면 기존 봇넷 및 신종 봇넷의 활동이 증가하고 증폭 DDoS 공격의 빈도가 높아졌으며 여러 날 동안 지속되는 DDoS 공격도 다시 출현했다고 한다.

2018년 1분기 동안 DDoS 봇넷의 온라인 리소스 공격이 79개국에서 발생했다. 공격을 가장 많이 경험한 국가로는 중국과 미국, 한국이 다시 순위권에 등장했다. 이들 국가 모두 해킹 집단이 이용할 수 있는 서버 대수가 높은 수준이며, 따라서 호스팅되는 사이트 및 서비스의 수 또한 대단하다. 한편 최다 공격 대상 국가 10위권에는 네덜란드와 베트남이 빠지고 홍콩과 일본이 이름을 올렸다.



C&C 서버 최다 호스팅 부문 10위권의 변화는 더욱 뚜렷하다. 캐나다, 터키, 리투아니아, 덴마크가 순위에서 사라지고 이탈리아, 홍콩, 독일, 영국이 그 자리를 대신했다. 이로 미루어 볼 때 Darkai(Mirai의 복제본)와 AESDDoS 봇의 활성 C&C 서버 수가 급격히 증가하고 있으며 기존 Xor 및 Yoyo 봇넷이 활동을 재개했다고 추측할 수 있다. 이들 봇넷은 대부분 리눅스를 사용하지만 리눅스 기반 봇넷이 차지하는 비율은 2018년 1분기에 66%를 기록하며 2017년 말의 71%에 비해 약간 감소했다.



또한 오래 지속되는 DDoS 공격이 잠시 중단되는 듯했으나 최근 다시 나타난 것으로 보인다. 1분기에 가장 오래 지속되었던 DDoS 공격은 297시간, 즉 12일이 넘도록 지속됐다. 2015년 말 이후로 가장 긴 공격이다.

1분기 끝 무렵에 눈에 띈 멤캐시드(Memcached) DDoS 공격은 공격력 면에서 워낙 독보적이어서 일부 경우 1TB를 넘어서는 대규모 공격이 발생하기도 했다. 그러나 카스퍼스키랩 전문가들은 멤캐시드 공격이 성행하는 현상은 오래 지속되지 않을 것으로 예상하고 있다. 해당 공격은 공격 대상에게도 영향을 미치지만 공격 수행 시 기업들이 의도치 않게 개입되기 때문이다.



전반적으로 증폭 공격은 과거 감소세를 보였으나 1분기에 다시 추진력을 얻으면서 성행하게 되었다. 예를 들어 카스퍼스키랩은 큰 효과에도 불구하고 드물게 발생하는 공격 유형을 하나 등록했는데, 이 공격 유형에서 LDAP 서비스가 증폭기로 사용되었다. LDAP 서비스는 멥캐시드, NTP, DNS와 함께 증폭률이 가장 큰 서비스에 속한다.

그러나 멤캐시드와 달리 LDAP 정크 트래픽으로 인해 발신 채널이 막히는 일이 없기 때문에 취약점이 있는 서버의 소유주가 이상 상황을 파악하고 치료하기가 어렵다. 공격에 이용할 수 있는 LDAP 서버가 비교적 소수이기는 하지만, 이러한 유형의 공격이 앞으로 다크넷에서 인기를 끌 가능성도 있다.

카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “올해 초부터 몇 개월 동안 보아왔듯이 DDoS 공격의 피해를 입는 것은 공격 대상뿐이 아니고, 취약한 부분이 있는 인프라를 운영하는 기업들도 피해를 입는다”며, “1분기에 발생한 사건들을 통해, 기업이 운영하는 플랫폼은 취약점 패치를 정기적으로 수행하고 DDoS 공격에 대한 지속적인 보호 기능을 갖추어야 한다는 단순한 진리를 재확인할 수 있었다”고 말했다. editor@itworld.co.kr


X