[종합] 인터넷 마비 사태에 대한 각 업체들의 분석 ::: bcpark.net

자유롭게 게시물을 올릴수있는 게시판입니다.

BCPARK 유튜브 구독 감사합니다. BCPARK 유튜브 구독 감사합니다.
비씨파크 회원 뭉쳐서 100만 유튜브 채널 가즈아~~~

[종합] 인터넷 마비 사태에 대한 각 업체들의 분석

그림 : SQL 서버 2000의 약점을 이용한 공격 패킷을 스니핑한 화면

1) 아래는 하우리 바이러스 연구소에서 밝힌 자료입니다.

25일 발생한 인터넷 마비 사태의 주범인 신종 웜 바이러스 '슬래머(Worm.SQL.Slammer)'인 것으로 드러났다.

하우리(대표 권석철, www.hauri.co.kr)는 25일 국내 인터넷 서비스를 마비시킨 주범은 분산서비스 공격(DDos) 공격이 아니라 SQL 서버를 공격하는 신종 웜 '슬래머(Worm.SQL.Slammer)'로 확인됐다고 발표했다.

하우리 기술연구소에 따르면 이 신종 웜은 SQL 서버의 취약점을 이용해 1434포트로 유입되는 형태로 감염된다.

일단 감염되면 무작위로 서버 IP 주소를 선정, 초당 1MB이상의 과도한 패킷을 날려보냄으로써 서버 부하를 일으켜 시스템을 다운시킨다.

또 이 웜은 취약점이 발견되는 다른 서버에 계속적으로 패킷을 발송, 버퍼 오버플로우를 일으킨다.

특히 파일 형태로 존재하지 않아 분석을 어렵게 만든다는 차원에서 코드레드(CodeRed) 웜과 비슷하나, 코드레드가 IIS 서버의 취약점을 이용한 반면, 이 웜은 SQL 서버의 취약점을 이용하였다는 점에서 차이를 보인다.

이 웜을 사전 예방하기 위해서는 SQL 서버에서 사용하지 않는 1434 포트를 임시로 막고, MS에서 제공하는 SQL 서버용 보안 취약점 패치를 다운받아 설치해야한다.

또 1434 포트를 막지 않으면 계속해서 감염이 일어나게 되므로 반드시 사전 조치를 취해야 한다.

권석철 사장은 “UDP(User Datagram Protocol) 특성을 이용해 공격을 감행하므로 확산 속도가 매우 빠르다” 며, “보다 자세한 정보가 나오는 대로 세부사항을 다시 공식 발표할 것”이라고 밝혔다.

현재 하우리는 잉카인터넷 및 해커스랩과 함께 자세한 내용을 분석, 자사 솔루션으로 치료할 수 있도록 하기 위해 작업을 진행하고 있다.

한편 하우리는 SQL서버에 대한 관련 패치 사이트는 www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp 라고 밝혔다.

(02)828-0795.

2) 아래는 안철수 바이러스 연구소에서 제공하고 있는 정보입니다.

SQL 취약점을 이용하여 확산되는 신종 웜이 2003년 1월 25일 오후에 발견되었습니다.
현재 한국 뿐 아니라 미국, 영국, 호주, 캐나다 등에서도 동일한 증상이 발견되는 등 세계적으로 확산추세에 있으므로, 특히 SQL 서버를 이용하고 있는 고객님께서 각별한 주의를 기울여 주시기 바랍니다.

이 웜은 1434 UDP 포트를 이용하여 SQL 서버가 설치된 서버를 대상으로 공격되고 있으며, 2002년 7월 24일 발견된 "Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution 취약점"을 이용하여 확산됩니다.

이 취약점에 대한 패치는 SQL 서버 서비스팩3에 포함되어 있으므로, SQL 서버 서비스팩3를 설치하면 예방할 수 있으며, 방화벽에서 오픈되어 있는 1434 UDP 포트를 막아두는 것도 하나의 방법입니다.

또한 이 웜은 일반적인 웜과 같이 파일형태로 저장되어 감염되는 것이 아니라 2001년 7월에 발견되었던 코드레드와 같이 메모리상에 상주하는 형식으로 전파되므로, 일반 백신 프로그램으로는 치료할 수 없습니다.
따라서, 안철수연구소에서는 이 웜을 모니터링할 수 있는 전용솔루션을 현재 개발중이며, 개발이 완료되는 대로 홈페이지를 통해 무료 배포할 예정입니다

3) 아래는 엘림넷에서 고객들에게 제공하고 있는 정보입니다.
MS 계열 서버를 관리하시는 관리자 여러분들 참고하시어서 서버를 웜의 공격에서 방어하시기 바랍니다.

안녕하십니까, 엘림넷입니다.

인터넷 접속이 안된다고 연락 주시는 고객분들 중에 바이러스 감염으로 인해 인터넷 접속불능상태가 발생하는 사례가 급격히 증가하고 있어 안내해 드립니다.

현재 발생하는 바이러스는 Win32/Opasoft.worm계열의 변형으로 추정되고 있습니다.
Win32/Opasoft.worm.28672 는 W32/Opaserv.worm, W32.Opaserv.Worm, WORM_OPASOFT.A, Worm.Win32.Opasoft 라고도 불리며 2002년 9월 29일 처음 발견되었으며, 웜은 외국과 국내에서 거의 같은 날에 발견될 만큼 확산속도가 빠릅니다.
Win32/Opasoft.worm.24064 는 2002년 10월 20일 외국에서 처음발견되었고 ,기존의 Win32/Opasoft.worm.28672의 변형중 하나입니다.

바이러스에 감염되면 웜은 현재는 (서비스가 중지된) 닫혀 있는 특정 웹 서버로 쿼리를 계속 날리게 되고, 이같은 작업과 대상을 계속적으로 찾기 때문에 네트워크에 상당한 부하가 발생하게 되어 인터넷접속이 마비됩니다.

고객께서는 바이러스 감염이 의심나시면 최신 바이러스백신으로 바이러스 검사를 해주시기 바라며,자세한 바이러스정보는 안철수사이트등을 참조하시기 바랍니다.

기타 문의사항이 있으실 경우 엘림넷 장애처리센터(국번없이) 1588-4999 또는 02-3149-4999로 문의주시기 바랍니다.

감사합니다.

4) 아래는 해킹 관련 정보를 제공하고 있는 CERT Korea에서 제공한 정보입니다.
MS 계열 서버를 관리하시는 관리자 여러분들 참고하세요.

☆ 개요
2003년 1월 25일 오후, MS-SQL 2000 server와 관련된 udp 1434 포트에 대한 트래픽이 증가하여 국내 주요 ISP의 통신망에 장애가 발생하였다. 현재까지 파악된 내용으로는 MS-SQL 2000 Server의 취약점을 이용한 신종 웜으로 인해 트래픽이 발생된 것으로 확인되고 있다.

☆ 전파원리 및 피해증상
□ 공격대상
. MS SQL Server 2000
. MS SQL Server 2000 SP1
. MS SQL Server 2000 SP2

이 신종 MS-SQL웜은 MS-SQL 2000 Server의 Resolution Service의 취약점을 이용해 전파되고 있으며, 새로운 시스템을 감염시키기 위해 Resolution Service에서 사용되는 udp 1434 포트에 대한 스캔을 시도한다.

※ 관련 취약점 및 참조사이트

- Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875) (//www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp)

- Microsoft SQL Server 2000 Resolution Service Heap Overflow Vulnerability
(//online.securityfocus.com/bid/5310)

☆ 대응방법
□ 보안대책

가. 패치의 적용
MS-SQL 2000 Sever를 사용하고 있는 업체에서는 해당 취약점에 대한 패치를 신속히 적용하도록 한다. 현재 MS-SQL 서비스 팩은 SP3까지 나와있으며, SP3를 설치하므로서 SP1과 SP2의 모든 내용이 적용되게 된다.

- SQL Server 2000 서비스 팩 3
//www.microsoft.com/korea/sql/downloads/2000/sp3.asp

나. 1434/UDP 포트 필터링
외부에서 내부 네트웍으로 들어오는 패킷을 차단하므로서 외부망으로부터의 스캐닝이나 본 취약점을 이용한 공격을 방지할 수 있다.

다. Egress Filtering
피해 시스템으로부터 1434/udp 포트를 통하여 외부망이나 인터넷으로 나가는 패킷을 차단함으로서 또 다른 시스템에 대한 피해를 줄일 수 있다.

비씨파크 카카오톡 오픈채팅방 오픈! gogogo~~~
[초대코드 bcpark]

written by (sakurachan)

2003-01-26 00:10:55

4025 번 읽음

목록보기 글꼴(+) 글꼴(-) 프린트 이메일 PDF

총 22 개의 댓글이 있습니다.

의견감추기 리스트보기 펼쳐보이기

1. 이희성 '03.1.26 12:37 AM 신고

해커들은 다 똑똑해보이넹;; ↓댓글에댓글
2. 송기덕 '03.1.26 12:47 AM 신고

SQL 이라는게 뭡 니까 ㅡㅡ? ↓댓글에댓글
3. 김종호 '03.1.26 2:04 AM 신고

데이타 베이스 서버 입니다..-_-;; 저도 무식이 초짜라서..자세히 설명은 못드리겠구만요.. ↓댓글에댓글
4. 박제완 '03.1.26 3:01 AM 신고

미리 패치를 안깔아서 그렇다 그검니까....휴..... 암튼 얼렁 모든게 복구 되쓰면...내홈피ㅠ.ㅠ ↓댓글에댓글
5. 정원이 '03.1.26 3:07 AM 신고

ㅡ_ㅡ;; 이제;; 바이러스의 힘에 인터넷이 망하는구마...
바이러스 하나땜에;; -_-피시방들이 망할뻔했으니.ㅋㅋㅋ ↓댓글에댓글
6. 조영훈 '03.1.26 4:07 AM 신고

휴~~~~다행이다....^^ 난 sp3 설치했다...쿠쿠쿠...^^ ↓댓글에댓글
7. 노진수 '03.1.26 8:23 AM 신고

The South Korean news agency said the nationwide internet shutdown was triggered by "apparent cyber terror committed by hackers".
It was not immediately clear if the South Korean attack was the.. ↓댓글에댓글
8. 노진수 '03.1.26 8:24 AM 신고

same as that reported in the United States.

It is the first time South Korea's wired and mobile internet services have been hit collectively in such a way, according to Yonhap. ↓댓글에댓글
9. 노진수 '03.1.26 8:24 AM 신고

But the impact on most financial institutions, corporations and government offices was minimal as they were closed for the weekend, it said. ↓댓글에댓글
10. 노진수 '03.1.26 8:25 AM 신고

영국 BBC 사이트에서 쉽게 찾아낸 기사... 대충은 알아먹겠군..-ㅅ- ↓댓글에댓글
11. 강형빈 '03.1.26 8:51 AM 신고

나는 XP SP1에 업뎃까지 다했다. 다행이다. ↓댓글에댓글
12. 박승만 '03.1.26 9:41 AM 신고

나는 윈98SE..-_-;; ㅋㅋ ↓댓글에댓글
13. 오세욱 '03.1.26 10:58 AM 신고

딘따 우낀다..ㅋ 세계에서 정보화가 잘된(보안은 형편없지만..ㅋ) 나라가 이렇게 바이러스때문에 국가 전체가 인터넷이 마비되다니.. ↓댓글에댓글
14. 여운관 '03.1.26 1:56 PM 신고

해커가 아니고 크랙커죠 -0-ㅋ ↓댓글에댓글
15. 이현준 '03.1.26 1:13 PM 신고

M$ 만날 대형사고의 온상이네 전에 코드레드때도 그랬고 사고치면 M$ 서버...
SQL서버도 좀 다양(오라클,인포믹스 등등)하게 분산해서 하지 M$-SQL 서버만 많으니까 이런 대형사고가 터지잖아요 ↓댓글에댓글
16. 이현종 '03.1.26 1:20 PM 신고

일반 컴퓨터 사용자는 걸리지 않습니다... SQL 서버 취약점을 노린것으로 SQL 서버를 다운시키는거죠 SQL 서버가 아닌 컴퓨터는 괜찮습니다 ^^; ↓댓글에댓글
17. 이현준 '03.1.26 1:21 PM 신고

어기 비씨파크는 전부 리눅스서버 쓰네요.물론 아파치구요
보니까 좀더 자세한 정보도 있네요 ↓댓글에댓글
18. 김익현 '03.1.26 1:56 PM 신고

NT윈도우가 아닌 계열은 괞찮습니다. 윈도우2000이나 xp가 문제죠.. 서버전용 윈도우들은 거의 다 걸렸을겁니다. ↓댓글에댓글
19. 황해성 '03.1.26 2:44 PM 신고

2000이나 xp 가 문제가 아니라 SQL서버라는 ms에서 만든 데이터베이스의 취약점(문제점)때문에 그런답니다.. 서버용 os라고 다 sql서버가 깔려 있는것은 아니죠. 무서운 세상이군요.. 웜(자기자신을 계속 복제해 나.. ↓댓글에댓글
20. 권태황 '03.1.26 2:59 PM 신고

ISP들이 회선이 장비가 허접해서 생긴 일이군요. 저 바이러스 걸린사람이 전부도 아니고 일부가 걸려서 자기 회선이 허용한는 범위에서 트래픽을 발생시키는것인데 그걸 못견뎌내서 이런일이 생긴다는건 무조건 통신.. ↓댓글에댓글
21. 서경원 '03.1.26 3:38 PM 신고

어제 때문에 진짜 인터넷 잘 못했어요. 몇몇 사이트가 겨우 접속될까 말까하고... 참고로 전 윈도우 ME 사용중입니다. 전용선(하나로통신 홈랜) ↓댓글에댓글
22. 허태영 '03.1.26 4:10 PM 신고

장비가 허접해서 생긴게 아니죠 -_-;; 장비가 아무리좋아도 트래픽이 저렇게 유발돼면 대책없죠 --;; 여기서 os사항을 말할필요가.. SQL서버사용자들빼고 별영향없을듯 싶은데.. 잘못하면 파장이 몇일갈듯 -0- ↓댓글에댓글

☞ 로그인 후 의견을 남기실 수 있습니다

홈페이지 운영하세요? 용량과 트래픽과 가격으로 고민하셨어요?
비씨파크 평생 무제한 웹호스팅

목록보기

수정하기

삭제하기

작성하기