Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
2
목 차
1. 봇넷 개요
2. 봇넷의 진화
3. 봇넷 탐지 및 대응 방안
4. 능동형 봇넷 탐지 및 대응 방향
3
1. 봇넷 개요
봇(Bot), 봇넷(Botnet)?
봇넷의 특성
봇넷을 통한 공격 및 피해 사례
발생 현황
4
봇(Bot), 봇넷(Botnet)?
봇 마스터
1. 최초 악성코드전파
2. 취약점 공격을통한 악성코드 확산
3. 명령/제어서버 접속
4. 명령/제어
5. 악성코드 업데이트/공격명령
감염 PC 명령/제어서버
Botnet 서버 / 호스트
6. 분산서비스 공격스팸발송,개인정보 탈취 등
• 봇(Bot) : 훼손된 시스템에서 동작하는 종속 프로세스로써, 조종자와 통신
• 봇 마스터(Botmaster) : 악성 행위를 수행하도록 봇들에게 명령을 내림
• 봇넷(Botnet) : 봇들과 조종자로 구성된 네트워크
5
봇넷의 특성
스팸발송
스팸의 70~80%이상이봇넷과 관련
Distributed DoS 공격
경쟁상대 또는 특정사이트 대상 공격
Ad-Ware, 스파이웨어, 기타 Trojans 설치
금전적인 이득을 위해악성코드를 설치
트래픽 스니핑
ID, Passwd 같은 정보수집을 위해 패킷 수집
키 로깅(Key Logging)
민감한 정보 추출
정보 불법수집
은행계좌, 신용카드 ID, Password 등
피싱사이트
봇 감염 시스템을 피싱사이트로 활용
•웜/바이러스, 백도어, 스파이웨어, 루트킷 등 다양한 악성코드들의 특성을 복합적으로 지님
•상당히 많은 종류의 변종이 등장하여 안티바이러스 솔루션으로 대응하기 어려운 상황임
•DDoS, Ad-ware, Spyware, 스팸발송, 정보불법 수집 등 대부분의 사이버 공격이 가능
•공격자에 의해 봇넷을 마음대로 제어가 가능하며, 그 수법이 지능화 되고 있음
6
봇넷을 통한 공격 및 피해 사례 (1/3)
• 인터넷 미래 최대 위협은 “봇넷(Botnet)”- 가장 심각한 네트워크 위협 : 봇넷, DDoS 공격
- ’07년 1억~1억5천 컴퓨터가 봇넷에 감염되어 공격 수행에 사용될 것으로 예상
(Vint Cerf, TCP/IP 프로토콜 공동 창시자)
- 연간 파악된 봇넷 개수는 1,200~1,400개, 좀비의 수는 50만~300만 유지 (Shadowserver, 2007)
- 인터넷에 연결된 PC의 11% 이상이 봇에 감염된 좀비 PC (Damballa, 2007)
- 매일마다 새로운 5,000개의 악성코드가 유포되고 있음 (TechNewsWorld, 2007)
- 봇넷 C&C 서버 국가별 통계 4위(시만텍리포트, 2007) : 초고속 인터넷 환경으로 강력한 공격 가능
Source: Worldwide Infrastructure Security Report,Arbor Networks, Sep. 2007
’07년 2월6일, 2개의 루트서버가 5시간
동안 공격받았고, 이에 2월 8일 미국은
공격 진원지에 사이버 역대응 공격 또는
실제 폭탄을 투여하겠다고 발표
(전체 트래픽 중 한국발 : 61%)
※ C&C : Command & Control
7
봇넷을 통한 공격 및 피해 사례 (2/3)
• 봇넷을 통한 공격이 증가하고 있으며, 점차 범죄화 양상을 띰- 서비스 업체에 협박하여 금품 갈취하는 사건 발생 증가※ 게임 업체 웹사이트를 DDoS 공격해 서비스를 못 하게 한 후 협박해 돈을 갈취한 일당 구속
※ 2007년 9월 말부터 20여일간 아이템베이 등 아이템 거래업체 서비스 장애 유발 및 현금요구 협박※ 홍커(중국해커), “공격 안할게 돈내놔”, DDoS 공격으로 서버를 다운시키겠다고 협박해 받아가는 상납금이
연간 10억원을 넘음(2008)
- 애드웨어 설치, 금융정보 수집, 피싱사이트 활용 등 금융범죄를 위한 정보수집으로 활용
- 스팸발송의 대표적인 수단으로 활용(70~80% 차지)
“You pay me 20,000$ or your web site goes down.”
8
봇넷을 통한 공격 및 피해 사례 (3/3)
9
발생 현황
• Damballa의 최근 보고에 따르면 인터넷에 연결된 PC의 11% 이상이 봇에 감염된 좀비 PC임
• 전세계적으로 C&C 서버와 악성 봇은 광범위하게 분포하고 있고 특정 지역적으로 밀집되는 양상을
보임
<C&C and drones map 2007, Shadowserver.org>
10
발생 현황 – Fools’s day worm
• Storm Worm의 변종으로 2008년 만우절을 전후로 발견됨
• 스팸 메일의 본문에 포함된 악의적인 URL 클릭 시 악성코드 감염
• 4월 3일 이후로 멀티미디어 코덱을 배포하는 내용으로 웹페이지의 내용이 변경
- 유포되는 악성코드는 Foolsday.exe에서 StormCodec.exe로 변경됨
• Storm worm의 변종으로 2008년 만우절을 전후로 발견됨
• 스팸 메일의 본문에 포함된 악의적인 URL 클릭 시 악성코드 감염
• 4월 3일 이후로 멀티미디어 코덱을 배포하는 내용으로 웹페이지의 내용이 변경- 유포되는 악성코드는 Foolsday.exe에서 StormCodec.exe로 변경됨
Spammer(사성 IP사용)
①스팸 메일 발송
악성코드 유포지(공인 IP 사용)
②악성코드유포지 접속
③악성코드 다운로드Foolsday.exe
④악성코드 실행
사용자 PC
사용자 PC
⑤P2P 통신을 통한 데이터 교환
⑥사용자 PC가 사설 IP사용시PC내에 있는 메일 주소로 악성 스팸 메일 발송
⑥사용자 PC가 공인 IP사용시악성코드 유포지로 동작
11
2. 봇넷의 진화
명령/제어 방식의 진화
감염경로의 다양화
탐지 우회 방식
12
명령/제어 방식의 진화 (1/3)
Bot 관리자• Domain Name이 필요하지 않아,
Domain Name 구입비용 절약
• 분산 제어 (Distributed control)
• 모든 감염 PC가 C&C 서버로 사용
될 수 있음
• 대표적인 P2P 봇넷 : Storm
명령
참여 멤버들이 모두 C&C 역할을 수행하여 그룹에
명령전파(ex. Buddy-list)
• 중앙집중형 명령/제어 방식에서 P2P 방식을 사용하는 분산형 명령/제어 방식으로 발전
•중앙집중형 방식에 있어서, 탐지 및 차단을 어렵게 하기 위해 IRC 방식에서 HTTP 방식으로 전환
•탐지방해 : 암호 통신, 포트 변경, 명령/제어 서버의 주기적인 이주 등
명령/제어 IRC 서버
명령/제어(IRC 프로토콜)
• 다수의 Domain Name 확보하여
C&C 서버 등록
• 중앙집중형 제어
• 암호통신(SSL) 및 포트 변경
• 대표적인 IRC 봇넷 : Rbot
취약 호스트
감염
명령/제어 웹 서버
명령/제어(80 웹 포트)
• 서비스 중인 웹서버를 해킹하여
C&C 서버로 악용
• 중앙집중형 제어
• 웹 프로토콜 탐지/차단 어려움
• 대표적인 HTTP 봇넷 : Robax
취약 호스트
감염
13
명령/제어 방식의 진화 (2/3)
• 명령/제어를 위해 2가지 이상의 프로토콜을 사용하는 하이브리드 형태로 진화- 2008년 2월 Damballa에서 보고된 P2P 봇넷(MayDay Worm)
- 봇 클라이언트와 C&C 서버는 기본적으로 HTTP를 이용하여 통신
- HTTP 채널을 생성하지 못할 경우 TCP 또는 암호화된 ICMP를 이용하여 봇들끼리 통신
HTTPHTTP
HTTP HTTP
HTTP
Bot 관리자 Bot 관리자
ICMP
ICMP
ICMP
ICMP
ICMP
ICMP
ICMP
ICMP
HTTP 통신 채널을 생성하지 못할 경우
중앙 집중형 구조 분산형 구조
14
명령/제어 방식의 진화 (3/3)
• 다수의 중앙 집중 포인트(C&C서버)가 존재하는 하이브리드형태로 진화- 다수의 C&C서버는 P2P 프로토콜을 이용해 명령을 전달 받음
- 봇에 감염된 좀비 PC는 초기 C&C접속 목록(Peer list)를 이용해 임의의 C&C로 접속
- 특정 C&C가 탐지되더라도 나머지 봇넷은 그대로 유지됨
Bot 관리자
Servent bots
Client bots
15
감염경로의 다양화
• E-Mail 첨부 파일을 이용한 사회 공학적 방법
• Drive-by-download를 이용한 감염
• IM(MSN 등)을 이용한 감염
• 다양한 제목을 가지는 이메일의 첨부 파일을 이용
해 전파되는 Storm worm
클릭시 자동 연결
• 만우절 내용을 담고 있는 메일의 링크 클릭시 웹페이지에
포함되어있는 악성 봇(foolsday worm) 파일 자동 다운 로드
16
탐지 우회 방식 (1/2)
• 봇넷 탐지 회피를 위한 다양한 기술이 추가됨- C&C서버와 봇 사이의 통신 데이타 조절을 통해 트래픽 집중 형상을 막음
- 특정 시간 동안 C&C서버로 새로운 봇이 접속하지 않을 경우 이후 접속하는 모든 봇들을 차단
Bot 관리자 Bot 관리자
정상적으로 명령 전달 명령을 전달하지 않음
C&C서버의 트래픽이임계치를 초과 했을 경우
특정 시간동안 새로운 봇이C&C 서버로 접속하지 않을 경우
이후 접속하는 모든 봇들을 차단
Reference [1] 17 page
17
탐지 우회 방식 (2/2)
• 악성코드의 진화- 악성코드 변경 : 다양한 변종, 압축/암호화 기술 적용
- 악성코드 지능화 : 악성코드 분석도구(Virtual Machine, 디버거, 샌드박스)를 탐지하여 분석하지
못하도록 방해
- 악성코드 실행 숨김 기능 : 악성코드가 구동 중이나, 실행여부가 드러나지 않도록 숨김(Rootkit)
자동화된 도구/공개 소스를통한 다양한 변종 생산 악성코드 분석도구를 파악하여
분석 방해
활동 정지,분석도구 공격,
분석방해
악성코드 실행 여부 숨김
18
3. 신종 봇넷 탐지 및 대응방안
봇넷 탐지 및 대응 기술 동향
국내 대응 현황
P2P 봇넷 완화 기술
19
봇넷 탐지 및 대응 기술 동향
• 기술 적용 대상에 따라, 호스트 기반과 네트워크 기반으로 구분되며,
• 기술 특성에 따라, 시그니쳐 기반과 행위기반으로 구분됨
Action!!!
(봇넷 Join, 파일 삭제, 등)
패턴 부합여부
호스트 기반 시그니쳐 기반네트워크 기반 행위 기반
• 네트워크 트래픽을 분석하여 비정상 봇넷 트래픽 탐지
• 오탐의 소지가 있고 현재는 탐지율이 매우 낮은 수준임
• Peakflow(Arbor–DDoS전용), Bothunter(공개솔루션)
• HTTP/P2P 봇넷에 대한 탐지 및 대응 한계
• 네트워크 트래픽을 분석하여 비정상 봇넷 트래픽 탐지
• 오탐의 소지가 있고 현재는 탐지율이 매우 낮은 수준임
• Peakflow(Arbor–DDoS전용), Bothunter(공개솔루션)
• HTTP/P2P 봇넷에 대한 탐지 및 대응 한계
• 분석된 악성코드의 패턴을 이용하여 탐지
• 알려지지 않은 신종, 변종 악성코드 탐지가 어려움
• AntiVirus 솔루션(V3, norton 등)
• 분석된 악성코드의 패턴을 이용하여 탐지
• 알려지지 않은 신종, 변종 악성코드 탐지가 어려움
• AntiVirus 솔루션(V3, norton 등)
시그니처 기반
• 악성코드의 이상 행위를 기반으로 탐지
• 탐지/분석 회피기술을 사용 / 오탐의 소지가 있음
• Sandbox(Norman, CW), Antibot(Norton)
• 악성코드의 이상 행위를 기반으로 탐지
• 탐지/분석 회피기술을 사용 / 오탐의 소지가 있음
• Sandbox(Norman, CW), Antibot(Norton)
• 보유 비정상 트래픽 패턴을 이용하여 봇 트래픽 탐지
• 패턴을 벗어나는 경우, 탐지가 불가능(우회하기 쉬움)
• IDS, IPS : 주로 DDoS 공격 탐지 (봇넷 구성 탐지 불가)
• HTTP/P2P 봇넷에 대한 탐지 및 대응 한계
• 보유 비정상 트래픽 패턴을 이용하여 봇 트래픽 탐지
• 패턴을 벗어나는 경우, 탐지가 불가능(우회하기 쉬움)
• IDS, IPS : 주로 DDoS 공격 탐지 (봇넷 구성 탐지 불가)
• HTTP/P2P 봇넷에 대한 탐지 및 대응 한계
행위 기반
호스트기반
네트워크기반
시그니쳐
20
국내 대응현황(1/2)
• KISA 인터넷 침해사고대응지원 센터 봇넷 대응 : Best Practice of the World!!!- 봇C&C 정보 수집 : Honeynet DNS 로그, 악성코드 수집시스템, 외부 사이트, 사고분석(KrCERT/CC)
- ISP’s DNS 서버에 DNS RR 적용 : 주요 10 ISP/IDC, 2006년 이래로 6,000 domain names 이상 적용
- 봇넷 모니터링/대응 : 봇넷 싱크홀 네트워크 관리, 각 ISP별 봇 감염 IP/봇C&C 통계
악성코드 분석
허니넷
허니넷을 구축하여 운영 중
- 취약 시스템으로 구성된 허니팟 구축
- 유입 악성코드 탐지 및 분석(봇C&C)
- 허니넷 트래픽 분석을 통한 봇넷 탐지
외부 사이트를 통해 봇C&C 파악
허니넷을 통해 탐지된 샘플을 보안업체와공유 백신 업데이트 지원
악성코드 감염
통신 사업자
국외 C&C 정보공유 사이트
봇C&C 정보
봇C&C 정보
봇C&C 정보, 경보, DNS RR
보안업체
봇샘플
KrCERT/CC
인터넷 침해사고대응 시스템
※ DNS RR : DNS Resource Record
21
국내 대응현황(2/2)
DNS Sinkhole 적용 전 DNS Sinkhole 적용 후
개선사항
- HTTP/P2P 탐지/대응 한계 (DNS 싱크홀 적용이 어려움 봇좀비 리스트 파악 어려움)
- Rogue DNS 기술을 적용하여 DNS 싱크홀을 우회할 수 있는 기술이 등장
- 감염경로의 약 80%가 웹과 메일임 허니팟 취약시스템 유입 악성코드 감소(S21Sec, 2007)
- 악성코드 분석도구를 우회하는 지능형 봇의 지속적인 증가
22
P2P 봇넷 완화 기술
개선사항
- P2P 봇넷을 완전히 무력화 시킬 수 없음
- 하이브리드 형태의 명령/제어 방식을 사용하는 봇넷을 완화 할 수 없음
Original Contents
Key Contents
Polluted Contents
Key Contents
Key Contents Key Contents
Key Contents
Key Contents
Key Contents
1. Bot들이 검색하는 Key에대한 Content정보 획득
2. Key에 대해 유효하지 않은값으로 content를 수정
3. Key에 해당하는 content검색시 수정된 content를 얻게 됨
• P2P 연결 정보를 poisoning함으로써 봇넷의 활동을 완화시킬 수 있음- 봇넷 모니터링 또는 봇 샘플 분석을 통해 P2P 봇넷의 정보(Index, Perr 목록 등)를 수집
- 봇들이 검색하는 Key에 대응하는 Content를 유효하지 않은 값으로 설정하여 봇넷에 전파
- 봇들은 잘못된 정보로 인해 추가 악성 행위에 필요한 데이터를 전달 받지 못함
23
4. 능동형 봇넷 탐지 및 대응 방향
행위기반 봇넷 탐지 시스템
봇넷 관제 및 보안 관리 시스템
호스트기반 능동형 탐지/대응 시스템
24
행위기반 봇넷 탐지 시스템
명령/제어 서버
분산형 봇넷(P2P)
봇 전파
사용자 단말
DNS
중앙집중형 봇넷(IRC, HTTP)
봇 전파
DNS 쿼리(C&C 접속, 악성코드 다운로드, C&C 서버 이주, 주기적인
Ping/Pong, DDoS 공격명령/제어, 악성코드
봇넷 탐지 센서
봇넷 행위 이벤트(DNS 쿼리 패턴, Netflow 정보)
그룹 행위기반봇넷 탐지시스템
명령/제어, 악성코드
• 그룹행위 기반 봇넷 탐지 기술 개발 필요- 악성 봇이 형태 및 특성에 상관없이 네트워크 트래픽 분석을 통한 행위기반의 봇넷 탐지 기술
- 다양한 유형의 봇넷 탐지를 위해 봇넷 고유의 그룹행위를 기반으로 봇 C&C 및 좀비 리스트 탐지
- 최근 증가하고 있는 HTTP/P2P 봇넷 탐지 및 대응
25
봇넷 관제 및 보안관리 시스템
• 봇넷 종합관제 및 보안관리 시스템 필요- 봇넷 구성, 분포, 행동, 변동사항 확인을 위한 시각화/통계/리포트 기능
- 봇넷 공격 완화를 위한 능동형 대응 및 보안관리 기술
※ DNS싱크홀/BGP Feeding 자동 관리 기술
※ P2P 봇넷 응집도 완화 기술
탐지 정보
봇넷 종합 관제 / 보안관리 시스템
그룹 행위기반봇넷 탐지시스템
DNS
DNS
DNS 싱크홀
ISP 보안 관제
DNS 싱크홀, BGP Feeding 제어
봇넷 정보(봇 C&C, 좀비리스트, 변동사항 등), 경보
※ BGP : Border Gateway Protocol
26
호스트기반 능동형 탐지/대응 시스템
• 호스트기반 능동형 탐지/대응 기술 필요- 탐지우회 지능형 악성코드 탐지 및/분석 기술
- 실시간 봇의 행위를 모니터링 할 수 있는 기술
- 사용자 측면에서 대응할 수 있는 악성코드 감염 통보 및 치료유도 기술
봇넷 종합 관제 /보안관리 시스템
봇넷 감염 여부
탐지우회 지능형 악성코드탐지/분석 도구
중앙집중형 봇넷(IRC, HTTP)
분산형 봇넷(P2P)
봇 감염 봇넷 위장 잠입/ 실시간봇넷 정보
봇넷 정보
위장봇 기반 실시간모니터링 시스템
사용자 단말
봇 감염통보/치료유도 서버
호스트기반 봇넷트래픽 차단에이젼트
허니팟
27
질의 & 응답
Related Documents
