취미/Hacking2008.07.22 16:40
download download
한국전용 DDoS 공격툴의 막강한 기능...국내 사이트 무방비
[입력날짜: 2008-06-25]
  

한국인이 DDoS 공격툴 핵심기술·소스코드 구매

복합적이면서 방어장비 우회할 수 있는 기능 등 탑재

국내 사이트 대부분 DDoS 공격에 무방비로 방치된 상태


중국의 한국 타깃 전용 DDoS 공격툴이 만들어지고 있으며 더욱 강력한 기능을 탑재한 공격 툴들이 계속 업데이트 되고 있어 향후 DDoS 공격에 대한 철저한 대비가 없다면 국내 사이트들의 피해는 계속될 전망이다.


중국에서 가장 많이 애용(?)되고 있는 DDoS 공격프로그램은 세가지다. 주요 프로그램은 ‘도깨비  DDoS’, ‘Gansi v2008’, ‘NetBot_Attack’ 등이다. 이들 프로그램은 원격 제어 프로그램들과 유사한 인터페이스와 기능을 가지고 있으며 획득한 좀비 서버들을 이용한  DDoS 공격 기능을 지원하고 있다.

 



한편 ‘NetBot_Attack’관련 핵심기술과 소스코드를 한국인이 구매한 것이 확인됐다. ‘NetBot_Attack’을 개발해 판매했던 중국팀인 ‘Warning Security Team’중 3명의 핵심 개발자가 한국에서 개발업무를 하고 있는 것도 드러났다.


다시 말해 한국인 누군가가 금전적 이득을 목적으로 DDoS 공격툴인 ‘NetBot_Attack’ 툴의 핵심기술을 구매했고 이를 계속 업데이트 시키면서 한국 전용 공격툴로 만들어 한국 사이트를 공격하겠다는 것이다.   


한국측은 이에 ‘NetBot_Attack’의 모든 정보를 삭제하고 중국어 버전의 개발을 중지함과 동시에 현재 상업버전의 판매를 중지할 것을 요구했다고 한다. 또 모 사이트에서 ‘NetBot_Attack’에 대한 게시판을 중지할 것을 요구했다.

 


하지만 현재 ‘NetBot_Attack’ VIP 4.7버전까지 나온 상태이며 해당 웹 사이트는 어눌하지만 한국어로 번역이 된 상태로 서비스 되고 있다. 또 이들은 한국 사이트를 직접 공격한 테스트 내용을 올려놓고 있을 뿐만 아니라 기존 DDoS 공격과는 달리 원격제어 기능도 포함시키고 있어 감염된 좀비 서버와 PC를 원격에서 제어하는 등 다양한 악기능들을 추가시켜 업데이트 하고 있는 상황이다. 


현재 모 사이트에서 ‘NetBot_Attack’ 초기 버전을 공개적으로 무료 다운로드 할 수 있는 상태다. 이를 악용한  DDoS 공격에 한국 사이트들이 무차별적으로 피해를 입을 수 도 있는 상황이다.

 

한편 ‘NetBot_Attack’ VIP 4.7 버전은 중국의 유명 메신저인 QQ메신저나 크래커들의 카페 등을 통해 암암리에 1800위안(30만원) 정도에 거래되고 있는 것으로 드러났다.  


NetBot_Attacker VIP 4.0 주요 기능 및 특징을 보면 얼마나 다양하게 DDoS 공격툴을 사용해 공격을 감행할 수 있는지 알 수 있다. 이들은 우회공격을 통해 방어툴도 간단하게 제압하고 있다. 다음은 NetBot_Attacker VIP 4.0의 주요 기능들이다.


<NetBot_Attacker VIP 4.0 주요 기능 및 특징>

-DDoS 공격: NetBot에서 18가지 빠르고 유효한 공격 모드를 제공한다.

-일반 공격 모드: SYN Flood, ICMP Flood, UDP Flood, UDP 패킷, TCP Flood 등

-사이트 공격 모드: 빈 버퍼 GET Flood 공격, CC 공격, HTTP null GET request

-특수 공격 모드: 미르의 전설 개인 서버 공격, 지능적 혼합 공격 등

-합병 공격 모드: SYN+UDP Flood, ICMP+TCP Flood, UDP+TCP Flood

-한국 공격 모드: 한국 K2G공격, 한국 도박 사이트 공격, 안티-WebKnight 공격

-원격제어: NetBot에서 제공한 원격 제어 방식으로는 파일 관리, 화면 모니터링, 원격 SHELL,프로세스 관리, 원격 컴퓨터 종료, 재부팅, 로그오프, 서버 uninstall등 기능

-그룹 온라인: Static IP온라인, FTP Upgrade온라인, DDNS 온라인

-자체 보호: 자동 실행 방식, 서비스 히든, 동일한 유형의 제품 중에서 유일하게 rootkit을 사용,레지스터리에 입력되지 않는다. 부팅 옵션이 없으며 방화벽을 뚫을 수 있는 등의 특징을 가지고 있다. 또 사전 방역도 우회할 수 있다.

-정규 업데이트: C/S모드 채용, 공식 사이트에서는 정규적으로 새로운 기능 및 새로운 버전을 사용자들에게 제공하여 사용, 서버 백신 우회 처리는 4일을 단위로 한번씩 업데이트, 드라이버는 매주 한번 업데이트, 만약 우회할 수 없는 백신을 만났다면 패킹 처리되지 않은 서버를 공식 사이트에 전송하여 도움 을 받을 수 있다.


이들은 한국을 타깃으로 공격을 할 준비가 완벽하게 됐음을 알 수 있다. 또 여러 가지 공격을 복합적으로 실행하거나 방어 장비를 우회해 공격하는 등 너무도 다양한 공격 옵션을 탑재해 놓고 있다.


고가의 DDoS 방어 장비를 구입하지 못하는 업체들은 그저 당하고만 있을 수밖에 없는 상황이다. 또 고가 장비라고 해서 강력한 DDoS 공격을 다 막을 수 있다는 보장도 없기 때문에 이에 대한 정부의 적절한 대책이 나와야 한다고 전문가들은 말하고 있다. 

[길민권 기자(reporter21@boannews.com)]

신고
download download download
Posted by [lying dragon] Ed Kim

티스토리 툴바