2015.10.14

"리눅스 노린 XOR DDoS 공격, 150Gbps이상으로 진화했다"...아카마이

편집부 | ITWorld
아카마이코리아(www.akamai.co.kr)는 리눅스를 노린 XOR DDoS(분산서비스거부) 공격이 150Gbps 이상으로 진화했다고 밝혔다. 이는 대부분의 기업 시스템이 방어할 수 없을 정도의 수준이다.

아카마이 보안 인텔리전스 대응팀(SIRT)은 리눅스 하이재킹용 트로이 목마 악성코드인 XOR DDoS 공격 대역폭이 한 자릿수에서 시작해 150Gbps 이상의 공격으로 진화한 사실을 발견했다. 심지어 179Gbps에 달하는 공격이 발견되기도 했다. 가장 많이 공격을 받은 분야는 게임이고 교육기관이 그 뒤를 이었다. XOR DDoS에 감염된 봇넷은 하루 평균 20곳의 표적을 공격했고 전체 표적의 90%는 아시아에 집중됐다.

XOR DDoS는 공격자가 원격으로 리눅스 시스템을 감염시켜 온디맨드(On-demand) DDoS 공격을 실시하도록 지시하는 트로이목마다. 공격자는 무차별 공격을 실행해 시큐어 쉘(Secure shell) 비밀번호를 알아낸다. 이후 루트 권한을 획득해 배시 쉘 명령어(Bash shell script)를 구동시키고 악성코드 다운로드를 실행한다.

공격자들은 봇넷의 IP 주소를 위장하는 스푸핑(Spoofing) 기법을 간헐적으로 사용하는 치밀함을 보이기도 했다. 위장된 IP 주소는 감염된 호스트와 같은 /24 혹은 /16 주소에서 발생된 것처럼 보인다. IP주소의 세 번째 혹은 네 번째 마디만 바꾸는 이 기법은 인터넷 서비스 사업자가 uRPF(unicast Reverse-Path Forwarding) 보안 네트워크에서 스푸핑 트래픽을 차단하는 것을 막는데 활용된다.

아카마이는 현재 XOR DDoS 공격을 지속적으로 모니터링하고 있다. XOR DDoS 공격은 악성파일이 삭제되면 재설치할 정도로 지속적이기 때문에 ▲두 개의 디렉토리에서 악성코드 감염 파일 식별 ▲메인 공격 프로세스를 지원하는 공격 프로세스 식별 ▲악성 프로세스 제거 ▲악성코드 감염 파일 제거 등 4단계 제거 기법을 권고한다.

스튜어트 스콜리 아카마이 보안사업부 수석 부사장 겸 총괄책임자는 “지난 1년간 XOR 디도스 봇넷은 대형 DDoS 공격을 감행할 정도로 성장했다”며, “XOR DDoS는 공격자들이 윈도우에서 리눅스 시스템으로 초점을 옮기고 있음을 보여주는 사례로, 최근 리눅스를 겨냥한 디도스 공격은 과거 윈도우를 겨냥한 DDoS 공격보다 더 자주 발생할 정도로 급증했다”고 말했다. editor@itworld.co.kr


2015.10.14

"리눅스 노린 XOR DDoS 공격, 150Gbps이상으로 진화했다"...아카마이

편집부 | ITWorld
아카마이코리아(www.akamai.co.kr)는 리눅스를 노린 XOR DDoS(분산서비스거부) 공격이 150Gbps 이상으로 진화했다고 밝혔다. 이는 대부분의 기업 시스템이 방어할 수 없을 정도의 수준이다.

아카마이 보안 인텔리전스 대응팀(SIRT)은 리눅스 하이재킹용 트로이 목마 악성코드인 XOR DDoS 공격 대역폭이 한 자릿수에서 시작해 150Gbps 이상의 공격으로 진화한 사실을 발견했다. 심지어 179Gbps에 달하는 공격이 발견되기도 했다. 가장 많이 공격을 받은 분야는 게임이고 교육기관이 그 뒤를 이었다. XOR DDoS에 감염된 봇넷은 하루 평균 20곳의 표적을 공격했고 전체 표적의 90%는 아시아에 집중됐다.

XOR DDoS는 공격자가 원격으로 리눅스 시스템을 감염시켜 온디맨드(On-demand) DDoS 공격을 실시하도록 지시하는 트로이목마다. 공격자는 무차별 공격을 실행해 시큐어 쉘(Secure shell) 비밀번호를 알아낸다. 이후 루트 권한을 획득해 배시 쉘 명령어(Bash shell script)를 구동시키고 악성코드 다운로드를 실행한다.

공격자들은 봇넷의 IP 주소를 위장하는 스푸핑(Spoofing) 기법을 간헐적으로 사용하는 치밀함을 보이기도 했다. 위장된 IP 주소는 감염된 호스트와 같은 /24 혹은 /16 주소에서 발생된 것처럼 보인다. IP주소의 세 번째 혹은 네 번째 마디만 바꾸는 이 기법은 인터넷 서비스 사업자가 uRPF(unicast Reverse-Path Forwarding) 보안 네트워크에서 스푸핑 트래픽을 차단하는 것을 막는데 활용된다.

아카마이는 현재 XOR DDoS 공격을 지속적으로 모니터링하고 있다. XOR DDoS 공격은 악성파일이 삭제되면 재설치할 정도로 지속적이기 때문에 ▲두 개의 디렉토리에서 악성코드 감염 파일 식별 ▲메인 공격 프로세스를 지원하는 공격 프로세스 식별 ▲악성 프로세스 제거 ▲악성코드 감염 파일 제거 등 4단계 제거 기법을 권고한다.

스튜어트 스콜리 아카마이 보안사업부 수석 부사장 겸 총괄책임자는 “지난 1년간 XOR 디도스 봇넷은 대형 DDoS 공격을 감행할 정도로 성장했다”며, “XOR DDoS는 공격자들이 윈도우에서 리눅스 시스템으로 초점을 옮기고 있음을 보여주는 사례로, 최근 리눅스를 겨냥한 디도스 공격은 과거 윈도우를 겨냥한 DDoS 공격보다 더 자주 발생할 정도로 급증했다”고 말했다. editor@itworld.co.kr


X