Cyber Security Issue 8월동향 ë³´ê³ ì„œ.pdf

○ 공격이 이루어지면, 감염된 컴퓨터의 로컬 호스트 이름과 네트워크 카드 고유의 MAC어드레스 정보를 탈취해 공격자 서버로 전송함마이크로소프트 社 시타델(Citadel) 봇넷 대부분 제거GET /05cea4de-951d-4037-bf8f-f69055b279bb HTTP/1.1Host: PXE306141 (로컬 호스트 이름)Cookie: ID=0019B909D908 (실제 MAC 어드레스)Connection: keep-aliveAccept: */*Accept-Encoding: gzip< 실제 전송되는 정보 >○ 공격자는 네트워크 고유의 MAC 어드레스, 로컬 호스트 이름, 쿠키 정보들을 통해 공격과 관련한 시스템들의 위치를 찾아내는데 도움을 받을 수 있으며, 이 방법이 법적으로인정받는다면 네트워크 카드의 구매이력 등을 통하여 해당 시스템을 추적하는 것이가능[출처]1. http://www.symantec.com/connect/blogs/tor-anonymity-comes-under-attack▣ 개요○ 금융정보를 노리는 시타델(Citadel) 악성코드 봇넷의 88%가 美 FBI와 마이크로소프트 社 ,금융서비스회사 등의 공동작전으로 제거됨※ ‘시타델(Citadel)’ : 전세계 200만대의 PC를 감염시켜 은행계좌 접속정보 등을 빼돌리고 금융기관에서 돈까지 빼낸악성코드로 ’제우스(Zeus)‘ 봇넷의 진화형이며, 세계 최대의 사이버 범죄사건 중 하나를 일으킴 - 약 5억 달러(약 5천652억원) 손실 추정▣ 주요내용○ 지난 6월 5일부터 美 FBI와 마이크로소프트 社 , 기술회사, 금융서비스회사가 공조하여시작된 작전명 ‘시타델(Citadel) 봇넷 소탕작전’으로 봇넷의 88%가 소탕됨II. 인터넷 보안 동향○ 또한 마이크로소프트 디지털범죄대응단(DCU, Digital Crime Unit)의 부 법무자문위원인리차드 도밍고스 보스코비치는 시타델 봇넷에 감염된 PC를 확인·치료를 위해 공격자가 사용한 명령제어서버를 확보하여 MS의 “싱크홀” 시스템으로 변경함※ DNS 싱크홀 : 봇에 감염된 PC가 해커와 연결을 시도할 때 해커의 시스템 대신 싱크홀서버로 연결하도록 해 더 이상해커로부터 악용당하지 않도록 해주는 시스템○ 싱크홀 시스템을 통해 악성코드에 감염된 약 1300만개의 단일 IP를 확보했으며, 쉐도우서버 단체와 같은 안티-맬웨어 기관과 다른 연구원들과의 적극적인 대응으로 현재 약40% 감염 PC를 치료함- 국가별 시타델(Citadel)에 감염 통계(’13.6.2 ~ 7.21)를 확인한 1위는 독일, 2위 대만, 3위 이탈리아순이었으며, 한국은 Top 10 순위에 포함되지 않았음< 시타델에 감염된 국가별 IP 현황 - ’13.6.2 ~ 7.21 >18 월간 「Cyber Security Issue」 8월 동향 II. 인터넷 보안 동향 19