7.7 ddos에따른 isp의대응전략 · i. 최근ddos 침해공격현황part i....

최근 S 안위협 사례분석을 통한

7.7 DDoS에 따른 ISP의 대응전략

최근 DDoS 보안위협 사례분석을 통한

에 따른 의 대응전략

I. 최근 DDoS 침해공격 현황

II. 7.7 사이버 침해공격 대응

III 주요 보안이슈 사항III. 주요 보안이슈 사항

IV. 전사 DDoS 침해대응 방안

2009. 10. 22 고객지원본부 정보보호담당


숙주서버 (좀비PC 제어서버)

공격대상자① 서버 해킹

해커킹

② 메일, P2P 등 이용악성코드 전파

④ 공격명령 전송

• 공격트래픽은 수Giga~수십Giga

Network

악성코드 전파공격트래픽은 수Giga 수십Giga

• 인근 고객도 피해

⑤ DDoS 공격⑤ DDoS 공격

③ 명령 대기

Notpia

좀비PC

NAS

좀비PC

기업

좀비PC 좀비PC

PC방

2

좀비PC 좀비PC 좀비PC 좀비PC

* 좀비PC의 수는 수백~수십만대로 좀비PC의 수가 많을수록 피해규모도 급증

PART I. 최근 보안 위협 동향I. 최근 DDoS 침해공격 현황

2007년 하반기 – C&C Changer

Web

2007년 상반기 – 3322.org 등

C&CAttacker

C&C ChangerC&C

ac e

2008년 1분기 – 2중 Changer

DDNS, TTL=60

C&C : DST

2008년 2분기 – FastFlux

C&CDDNS, TTL=60

C&C Changer

Web

C&C : DSTC&C(CMD)

C&C Changer

3


명령/제어 프로토콜의 진화

- 중앙집중형(IRC, HTTP) 방식 분산형(P2P) 명령/제어 방식으로 발전

- 중앙집중형 방식에 있어서 IRC 방식 탐지가 어렵도록 HTTP 방식으로 전환

Bot 관리 • Domain Name이 필요하지 않아

명령/제어 IRC 서버 명령/제어 웹 서버

중앙집중형 방식에 있어서, IRC 방식 탐지가 어렵도록 HTTP 방식으로 전환

자• Domain Name이 필요하지 않아, Domain Name 구입비용 절약

명령

명령/제어

참여 멤버들이 모두 C&C 역할을 수행하여 그룹에

명령전파(ex. Buddy-list)

명령/제어(IRC 프로토콜)

명령/제어(80 웹 포트)

(ex. Buddy list)

취약 호스트감염

취약 호스트

감염

• 분산 제어 (Distributed control)

• 탐지 및 차단이 어려움

• 대표적인 P2P 봇넷 : Storm

• 다수의 Domain Name 확보하여

C&C 서버 등록(Fast-Flux 적용)

• 중앙집중형 제어

암호통신(SSL) 및 포트 변경

• 서비스 중인 웹서버를 해킹하여

C&C 서버로 악용

• 중앙집중형 제어

웹 프로토콜 탐지/차단 어려움

4

• 대표적인 P2P 봇넷 : Storm• 암호통신(SSL) 및 포트 변경

• 대표적인 IRC 봇넷 : Rbot

• 웹 프로토콜 탐지/차단 어려움

• 대표적인 HTTP 봇넷 : Robax


공격 특징1

[09년 공격 근원지 TOP 10][DDoS 공격 트래픽 추이] [DDoS 공격 대상의 변화]

DDoS 트래픽의 급속한 증가 (08년말 최대 58G 발생, 국내 일본)

※ 주요원인 : 고객PC의 高 사양화, 좀비PC(악성코드 감염PC)의 증가, 대역폭(FTTH) 증가 등

[09년 공격 근원지 TOP 10][DDoS 공격 트래픽 추이] [DDoS 공격 대상의 변화]

공격대상은 사회적 이슈가 되는 정부 및 금융기관 등으로 다양화 추세

공격 근원지(좀비PC 수)는 한국이 세계 3위

공격 변화

03~04년 웜 바이러스에 의한 공격 (네트워크를 통해 불특정 서버/PC 감염/전파)

2

03 04년 웜 바이러스에 의한 공격 (네트워크를 통해 불특정 서버/PC 감염/전파)

04~05년 피싱 및 스팸 (금전목적의 금융사이트 위조, 대출/악성코드 전파)

05~08년 Bot에 의한 DDoS 급증(금전요구 및 PC방 등 경쟁사 공격)과 DDoS 공격도구 판매

09년 에 의한 S 공격의 지능화

5

09년 ~ Bot에 의한 DDoS 공격의 지능화 (7.7 DDoS 사이버공격)


웜 바이러스RPC관련 135/TCP Port 시간별 트래픽 추이 (IDS6, 아시아)

16,000,000

18,000,000

20,000,000

12

14

점유비 (%)패킷수

135 포트

패킷수

주요 사례3

03년 1월 Slammer 웜에 의한 1.25 인터넷대란

03년 8월 Welchia, Blaster 웜 (웜 전파 포트차단)

04년 1월 Mydoom, Bagle 웜 (웜 전파 포트차단)0

2,000,000

4,000,000

6,000,000

8,000,000

10,000,000

12,000,000

14,000,000

00

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

00

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

00

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

00

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

00

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

00

01

02

03

04

05

06

07

2003/08/11 2003/08/12 2003/08/13 2003/08/14 2003/08/15 2003/08/16

0

2

4

6

8

10

시간

점유비(135패킷수/총패킷수)

[1.25 Slammer worm] [Blaster worm트래픽]

피싱 및 스팸메일

04년 4월 스팸메일 급증 (OECD 스팸 워크샵 개최, 부산)

04년 5월 피싱피해 증가 ( )

한국

스팸발송 국가 3위

전세계 ISP 중Kornet 2위

04년 5월 피싱피해 증가 (국내 피싱 전세계 2위)

DDoS 침해공격

05년 6월 BOT에 의한 대형 DDoS 발생 (14회/1일 공격)

05년 3월 기준][출처: www.spamhaus.org,[스팸메일 급증]

[Bot에 의한 DDoS 14회 공격, 보안시스템: KAPS]

05년 6월 BOT에 의한 대형 DDoS 발생 (14회/1일 공격)

07년 DNS 공격 및 스팸메일에 의한 인터넷 지연

- 스팸 대량발송으로 DNS 응답지연 (VOC 163건)

- 9월 3 8G DDoS 공격 등 다수 (서비스 장비고장 등)

[스팸메일에 의한 전국 DNS 트래픽 증가]

9월 3.8G DDoS 공격 등 다수 (서비스 장비고장 등)

08년 DNS 및 주요기관 DDoS 공격

- 전국 DNS(2월),청와대(4월),미래에셋(3월),국민은행(4월)등

- 08년 DDoS 대응 약 3,000건 (고장 216건)

6

09년 7.7 DDoS 사이버대란 발생


악성코드 유포지

서울 웹하드

웹하드 이용자(11만 5천대)1전용 프로그램 설치

2프로그램 구동시DoS

사이트

부산 웹하드

사이트

2자동 업데이트

4악성코드 설치

3웹 사이트 해킹

업데이트 프로그램을

악성코드로 바꿔치기

DoS공격

피해 사이트 (총35개)

(국내: 21, 해외: 14)

좀비 PC정보 유출

하드디스크파괴

좀비 PC 관리서버

(6개국 9대:

좀비 PC 파괴 서버

(6대: 대만, 과테말라, 미국, 좀비 PCDDoS

구분 공격대상 일자

1차- 국내(12), 국외(14) 대상 DDoS 공격- 24시간 동안 접속 장애 발생

7.7

2차 - 국내 15개 사이트에 접속장애 발생 7.8(6개국 9대:

독일(3), 미국(2), 캐나다

중국, 태국,오스트리아)

(6대: 대만, 과테말라, 미국,

파키스타, 터키, 멕시코)파일목록일부유출

DDoS공격 수행3차

- 국내 7개 사이트 대상 공격 시도- 알려진 피해는 없음

7.9

HDD파괴

- 감염 PC의 HDD 및 중요 문서 파괴 7.10

파일정보 수집서버

(59개국 416대

(한국: 15대))

악성코드

공급서버

(1대: 미국)

재유출 서버

(3대: 캐나다, 베네수엘라, 이스라엘)

네트워크형 C&C (Command & Control) 서버


7.7 DDoS 공격 및 피해현황

공격 개요

KT 대응 (전사침해사고대책상황실)

피해 사이트 고객Care

청와대, 국정원 등 피해고객 긴급 지원

- 고객 회선증설 및 해외발 공격트래픽 차단

조선일보, 한나라당 웹 서버 긴급보호 조치

일시 : 7.7 ~ 7.9 18:00 ~ 24시간 (총 3회 공격)

대상 : 국내외 총 34개 사이트 (국내 23개 사이트)

- 청와대, 국방부, 국정원, 조선일보, 국민은행 등

피해,

- 유해트래픽 차단서비스(IDC Clean Zone) 수용

악성코드 분석 및 대응

피해

- 공격 웹 사이트 접속불가 및 지연

- PC 정보 유출 및 하드디스크 손상(약 1,446건)

신속한 DDoS 악성코드 샘플 확보 및 분석

- 공격대상 기관 리스트 및 신종 악성코드 확인

악성코드 첫 입수를 통한 백신치료 지원

(국내 15대)

112233

- KSIA 및 백신업체 악성코드 제공 및 공조대응

감염고객 Care 및 홍보

TM 및 PC 팝업공지 홍보 및 백신설치 유도약 16만대(국내 7만8천, KT 3만7천) 국내외 총 34개(국내 23개)

44

TM 및 PC 팝업공지 홍보 및 백신설치 유도

- 감염고객 치료(3만7천), 전체고객(670만)

국내 손상된 고객PC 긴급 현장복구

서 터 피해접수 객 현장복 ( 건)

공격 특징

하나가 아닌 다수의 악성코드가 유기적으로 연동

계획된 시나리오로 동시에 다수 웹 사이트 공격

8

- IT 서포터즈, 피해접수 고객 현장복구(716건)PC 정보유출(파일목록 등) 및 하드디스크 파괴

III. 주요 보안이슈 사항

DDoS 공격의 대형화로 수백Giga 트래픽 공격 가능 (일부/전국 인터넷서비스 고립 가능)

금전요구 및 정치/사회적 목적의 DD S 공격 지속

공격의 다양화

금전요구 및 정치/사회적 목적의 DDoS 공격 지속

- 정부, 금융, 언론 등 주요기관

- 일반(Ntopia) 고객(게임/채팅 등 웹사이트 운영) 및 IMO(아이템거래사이트, 웹 호스팅 사이트 등)

DD S 전용 공격도구(N tb t) 판매(약 30만원) 및 보편화로 DD S 공격이 쉬움- DDoS 전용 공격도구(Netbot) 판매(약 30만원) 및 보편화로 DDoS 공격이 쉬움

대량 스팸발송에 따른 DNS 트래픽 증가 (스팸+DDoS+정보유출+전파 등 복합 공격)

인터넷 서비스 시설을 향한 공격 (DNS, 라우터 등)

좀비PC 제어서버(숙주) 분석 어려움

대응 문제점

좀비 C 제어서버(숙주) 분석 어려움

- 좀비PC와 제어서버간 암호화 통신 등 복잡하게 변화

- 생존성 확보를 위한 악성코드의 은폐, 자기방어 기능 등 지능화

DDoS 트래픽 선별 차단의 한계

- 네트워크망에서 공격 트래픽만 구분하여 차단 불가

다수의 공격발생 고객단말에 대한 실시간 차단 어려움

9

다수의 공격발생 객단말에 대한 실시간 차단 어려움

고객의 보안의식 미흡 (백신의 의미 모름)

IV. 전사 DDoS 침해사고 대응방안

DDoS 침해 대응력 향상1

3분인지 및 10분 초동대응의 전사 침해사고 대응체계 강화

- KAPS, IPS-ESM, NMS 등을 통한 DDoS 공격 3분인지

- KAPS, SinkHole라우터, 싱크홀DNS, ACL, DDoS 전용장비 등을 통한 10분 대응체계 유지

DDoS 침해 대응력 향상1

KAPS, SinkHole라우터, 싱크홀DNS, ACL, DDoS 전용장비 등을 통한 10분 대응체계 유지

DDoS 공격용 악성코드 확보 및 분석을 통한 경로차단 대응 강화

- 확보된 악성코드의 동작경로 분석을 통한 숙주서버 차단 대응 강화

ㆍMEPS, HoneyNet, NERAS, 네트워크트래픽분석장비 등 활용

대내외 협력기관간 DDoS 공조체계 강화

- 고객 DDoS 공조대응 프리미엄 서비스 강화(보안관제시스템 구축 및 운영 고객에 한함)

- 방송통신위원회, KISA, 국정원, 경찰청, NSF(네트워크시큐리티포럼), 백신회사, 보안회사 등

DDoS 전용 보안장비 구축

- KORNET 백본(추진중), IDC구간 DDoS 전용장비 구축(추진완료)

정보보호 인프라 고도화2

악성코드 감염PC 의 인터넷 접속차단 체계 구축

- 비상시, 고객단말 배치 형식의 차단기능 개발 및 구축

감염고객 Care 추진4 감염고객 Care 추진

악성코드 조치를 위한 백신반영 프로세스 강화

- 안철수연구소와 이스트소프트와 MOU 및 NDA 계약 체결

고객공지를 통한 백신설치 유도 및 인식 강화

10

- 감염고객 자가조치를 위한 고객공지(온라인) 백신설치 강제유도 및 치료 안내

긴급시, 고객 현장지원 체계 확립

- IT 서포터즈 및 현장요원(현장 NSC 및 현장 기술지원팀 등)


전사 대응조직

11

PART III. 서비스망 DDoS 보안대책 현황IV. 전사 DDoS 침해사고 대응방안

정밀분석 및 대응정밀분석 및 대응공격 인지공격 인지 초동대응초동대응

보안시스템보안시스템 & NMS& NMS 긴급대응긴급대응 정밀분석정밀분석 22차차 대응대응

보안시스템

KAPS, IPS-ESM

IDS MEPS

공격방향, 발생량 분석

공격유형 분석

프로토콜 공격 포트 분석

보안시스템 로그 상세분석

고객PC 원격접속 분석

MEPS 차단로그 분석

숙주서버 IP 싱크홀 차단

숙주서버 URL 차단IDS, MEPS

망관리시스템

TTS IP-NMS

프로토콜, 공격 포트 분석

공격자 및 대상자 IP 분석

공격대상자 IP 싱크홀 차단

MEPS 차단로그 분석

악성코드 정밀분석

동작원리분석 및 숙주 검출

전국 ACL 차단

감염고객 조치TTS, IP NMS 공격대상자 IP 싱크홀 차단 동작원리분석 및 숙주 검출

3분 이내 인지 10분 이내 대응

인터넷인터넷 전자침해전자침해 최초최초 인지인지 후후 1010분분 이내이내 신속신속 대응대응 인터넷인터넷 서비스서비스 중단중단 최소화최소화

12


13


①①

14


15


장비 인증 명령어 완성변수 전송, 결과 확인

장비 인증, 명령어 완성, 명령어 실행, 결과 여부, 로그 전송.

중앙중앙

-싱크홀 라우터

해외

- 싱크홀 라우터

-싱크홀 라우터

해외

- 싱크홀 라우터

제어 서버GUI

…지역 …지역 ……

…-싱크홀 라우터

……

…-싱크홀 라우터

유해 래픽 탐지 및 차단이 분이내에 해결가능

16

유해트래픽 탐지 및 차단이 10분이내에 해결가능

KT ICC : Clean Zone DDoS 대응


KT-ICC : Clean Zone DDoS 대응

DDoS공격 발생 시, 탐지된 공격 Traffic을 우회시켜 유해 Traffic을 제거한 후 정상적인

Traffic만을 통과시켜 KT ICC 고객이 DDoS공격에 영향을 받지 않고 정상적인 서비스를Traffic만을 통과시켜 KT-ICC 고객이 DDoS공격에 영향을 받지 않고 정상적인 서비스를

제공할 수 있도록 구성된 DDoSDDoS공격공격 전용전용 차단차단 영역영역을 Clean Clean Zone Zone 확대확대 운영운영 강하강하

Clean Zone 구성Clean Zone 구성KORNET

SMS 통합<<동작절차동작절차>>

CRS

DDoS 방어

① ②

③PMS

NMS

합관제시스템

<<동작절차동작절차>>유해유해트래픽트래픽탐지탐지

유해유해TrafficTraffic확인확인

가입자

스위치

DDoS 방어

장비(IPS)

④⑤

템

정상

유해트래픽유해트래픽경로우회경로우회

FilteringFiltering

유해유해 확확

고객사

정상

Traffic

gg

정상정상 TrafficTraffic의의 고객전송고객전송

17

고객사

Servers


고객사와 KT 보안관제센터와의 긴밀한 협조 체계를 통하여 대규모 DDoS 공격에 대한 실시간 감시 및

공조 대응으로 고객 주요 서버/네트워크 시설을 보호하고 피해를 최소화하는 공조 대응 서비스

KT 보안관제센터 (혜화)A 고객사 Network

고객 DDoS 공조대응 서비스 개념도

북 미 아시아

F/W

해외싱크홀

KAPS

B 고객사 Network

IPSKORNET

ACL

C 고객사 Network

중앙싱크홀ACL

IPS

대상고객 : 대형 고객 (금융권, 대형기업, 포털, 공공기관등)- 조건 : 자체 보안시스템 구축, 보안팀 구성 대형고객

- 최근 DDoS 공격에 대한 이슈가 있는 고객/ KT 기업용인터넷 전용회선 고객

18

V - 협조 사항 : 최근 다양한 형태의 DDoS 공격은 고객 보안시스템을 통한 자체 관제 중요

고객 DDoS 공조 대응 추진 범위


고객 DDoS 공조 대응 추진 범위

KAPS 보안시스템 활용 고객 WhiteList 감시 대규모 DDoS 사전 인지

NMS(CORE NMS) 활용 고객 회선 감시 고객 회선별 이상트래픽 인지

싱크홀 ACL 활용 DD S 차단 대규모 DD S 트래픽 차단싱크홀, ACL 활용 DDoS 차단 대규모 DDoS 트래픽 차단

공격 악성코드 분석 및 숙주 서버 차단 고객 DDoS 2차 공격 재발 방지

고객 <-> 보안관제센터간 실시간 공조 대응 ISP 공조로 신속 상황 통제 가능

트래픽 관제 및 샘플링 보안관제로 WEB 세션 공격 공격IP 등은 KT 미인지 가능

감시 방안 대응 방안 고객 관리 방안

※ 트래픽 관제 및 샘플링 보안관제로 WEB 세션 공격, 공격IP 등은 KT 미인지 가능

(고객사 보안시스템 활용 초동 공조 대응 필요)

KT

감시 방안 대응 방안

고객사 보안시스템(IPS IDS F/W 등)

HOTLINE 공조

고객 관리 방안

보안동향Report 제공

KT

보안관제센터

(IPS, IDS, F/W 등)

-KAPS 모니터링 감시

- WhiteList 등록/감시

중 단중앙/해외싱크홀,ACL차단

공격 IP 추적/숙주 차단

H 행HOTLINE 멤버링 시행

고객사

WhiteList 등록/감시

시NMS 활용 트래픽 감시C NMS 감시

숙주 서버 타 ISP 전파

결과보고서 제공

고객사 보안이슈 분석보안솔루션 등 제안

보안관제센터 견학

고객 DDoS

공조 대응

19

-Core-NMS 감시 결과보고서 제공안 제 터 학보안 교육 지원

좀비PC 인터넷접속 차단절차


차단 절차소요시간 및 방법 단축

시간현행 개선

좀비PC 인터넷접속 차단절차

공격PC IP 추출

1시간 0.5시간

0.5시간라우터에서 Netflow 시행

공격IP 선별추출

중앙 DDoS 전용장비 구축

공격시스템 IP 추출

IP정보 추출6시간 0.5시간 5.5시간

KAMS (대량 IP조회 기능부재) IP운용센터 접속제공플랫폼 DB 추출

3시간 1시간 2시간

해당지역 및 L3 검출 IP별 조회 (DAIMS)

L3 및 수용포트 확인

시스템화 (i-FOMS)

- 좀비PC 차단기능개발 (12월)

차단작업

3시간 1시간 2시간

L3 수동접속 시스템화 (i FOMS)차단작업 L3 수동접속

수작업에 의한 MAC/포트 차단

시스템화 (i-FOMS)

- 좀비PC 차단기능 개발(12월)

총 소요시간 13시간 3시간 10시간

제어대상 IP와

IP Access-NMS

포트 차단

i-FOMS

해당 L2/3, MAC

DAIMS L2/3

제어대상 IP와

신인증 서버팜 매핑

제어대상 IP 입(원격제어관리시스템) (신인증접속관리

시스템)

제어대상 IP 입력

PART IV. KT 서비스망 DDoS 종합대책(기대효과)IV. 전사 DDoS 침해사고 대응방안

DDoS 공격의 효율적 대응을 통한 유사 시 서비스망의 가용성을

확보함으로써 안정적인 서비스 제공을 통한 고객 신뢰 제고에 기여

DDoSDDoS

분석분석 및및 조치능력조치능력

DDoSDDoS

조기탐지조기탐지 및및 대응체계대응체계

강화강화구축구축

Always AvailableAlways AvailableAlways AvailableAlways Available

Service NetworkService NetworkService NetworkService Network

고객고객 밀착밀착DDoSDDoS

보호활동보호활동

전개전개

사전사전 예방활동예방활동

추진추진

21

7.7 ddos에따른 isp의대응전략 · i. 최근ddos 침해공격현황part i....

Documents