본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

동시다발적인 DDoS 공격을 수행하는 악성코드 주의!

보안공지 2010-06-14

안녕하세요? 이스트소프트 알약 보안대응팀입니다.


지난 6월 9일과 11일에 발생했던 중국발 DDoS 공격에 이어 6월 16일에 DDoS 공격을 수행하려는 일부 중국 네티즌들의 움직임이 포착되어 주의가 요구됩니다. 지난 6월 9일(1차)와 11일(2차)에 걸쳐 국가포털 사이트 및 일부 정부기관 사이트, 그리고 슈퍼 주니어 관련 사이트에 DDoS 공격을 시도한 일부 중국네티즌들이 6월 16일 3차 DDoS 공격을 하려는 움직임이 예상됩니다.


 

[공격증상]


중국 네티즌들에게 ‘성전’이라고 불리는 이 DDoS 공격을 살펴보면 지난 7.7 DDoS 공격 형태와는 다른 형태를 지니고 있는 것을 알 수 있습니다. 지난 7.7 DDoS 공격처럼 대량의 좀비PC를 활용한 공격이 아닌, 웹상에서 공격에 참여할 사람들을 규합하고 특정사이트를 공격할 수 있는 공격 도구를 배포하여 수동으로 DDoS공격을 실행하는 형태인 것이 특징입니다. 이러한 특성 때문에 6월 9일 1차 공격과 6월 11일 2차 공격에서 그 효과는 크지 않았던 것으로 보여집니다. 3차 공격도 이와 같은 형태를 띨 것으로 보여 현재로서는 대규모 DDoS 공격이 이뤄질 가능성은 높지 않습니다. 그러나 중국내 해커그룹이 3차 공격에 참여할 것이라는 얘기가 나오고 있고, 1차 공격에 비해 2차 공격을 수행한 IP수가 2배 이상 증가되었던 점을 볼 때 주의할 필요가 있습니다.


중국 유명 포털사이트에서 611성전으로 검색시 6.11 8시에 2차 성전을 수행했고, 6월 16일 공격을 위해 세력을 모으는 중이라는 글

<중국 유명 포털사이트에서 611성전으로 검색시 6.11 8시에 2차 성전을 수행했고, 6월 16일 공격을 위해 세력을 모으는 중이라는 글>


그림2 : 글 제목에 616성전이라는 말머리를 달고 있는 그림

<글 제목에 616성전이라는 말머리를 달고 있는 그림>


 

[제거 방법]


현재 알약에서는 해당 악성코드 파일들을 진단하고 있으며, 제거가 가능합니다. 이미 감염된 PC에서는 반드시 알약을 설치하여 최신 DB로 업데이트 한 후 수동으로 검사를 실시해야합니다.


 

[예방 방법]


1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다.
2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.