해커 "DDoS명령 서버 미국에"…정부 입장과 대치

쉬프트웍스, C&C 서버 있다고 주장

* 제목 출처 - 아이뉴스24 [해커 "DDoS명령 서버 미국에"…정부 입장과 대치]
* 주소 - http://itnews.inews24.com/php/news_view.php?g_menu=020200&g_serial=427856

-------------------------

* 쉬프트웍스 홈페이지 - http://www.shiftworks.co.kr

* 제목: 이번 DDoS 공격 분석에 대한 간단한 안내 (날짜 : 2009-07-09 18:33:35)
* 주소 - http://www.shiftworks.co.kr/board.php?bid=600&mode=view&uid=21367

... 우연히 8일 오전 11시경 악성코드 샘플을 입수하게 되어, 직접 감염을 시켜보고 징후를 분석 및 직접 해당 바이너리 파일을 분석하여 역추적을 하였습니다.

역추적을 한 경과 9일 새벽 1시~2시사이 네트워크 통신을 하는 부분을 찾았고 그부분을 감시하던중 네트워크 활동을 탐지하여 간단하게 네트워크 탐지프로그램으로 탐지하여 해당 악성코드가 해외(IP가 미국 주소지로 되어져있었음) 서버로 접근하는 부분을 발견하였습니다.

그 서버를 분석한결과 이미지파일형태로 위장하여 한개의 파일이 존재하였고 그 파일안에는 실행가능한 파일들이  2개정도로 합쳐서 겉으로는 총 1개의 이미지파일로 된 형태되어져 있었습니다. 그 파일들을 추출한 결과 현재 우리의 테스트PC에 있는 악성코드파일과 유사한 형태를 띠고 있었습니다.

그리고 이 파일은 우리가 직접 억세스 한것이 아니고, 감염된 PC에 있는 특정 악성코드에서 다운로드 하는 것을 포착하고, 웹서버로 직접적인 접근을 하여 파일을 다운로드 하였습니다.

이 모든 과정은 패킷이 오가는 과정을 덤프(하나의 이미지로 보관)로 떠서 그 징후를 그대로 증거 자료로 보관하고 있습니다.

즉, 네트워크 통신 활동을 하고 있는 부분이며 해당 IP는 미국에 위치한 서버 이며, 윈도우 2000 서버로 확인이 되었으며, "미국서버에서 파일을 내려와서 실행파일을 만들어서 실행시킨다" 이지, "미국발 해킹이다 라고 말하는 적은 없습니다" 이점을 오해 없으셨으면 합니다. 미국발이냐고 문의가 자꾸오는데, 미국발 이라고 말한적은 없음을 밝힙니다.

이 모든과정은 저희가 직접 감염된 PC로 모든 징후를 분석 후 나온 결과들입니다...