최근 웹 서비스를 제공하는 기업에 약 20시간 동안 Get Flooding Attack 유형의 디도스 공격 사례 가 발생했다. CIP Team은 해당 기업의 협조로 공격 당시 데이터를 제공 받았으며, Criminal IP로 공격 데이터를 분석하였다. (기업의 이름은 익명에 붙이지만 모든 데이터는 다 실제 데이터임을 밝힌다.) 사이트의 로그인 페이지로 다양한 공격 트래픽이 들어왔으며, 해당 공격으로 사이트의 로그인 서버에 심각한 부하가 발생해 로그인 기능이 마비되었다.
웹 서비스 기업에서 제공받은 디도스 공격 사례 데이터 일부
디도스 공격에 사용된 IP 주소 중 63%가 위험한 IP
해당 디도스 공격 사례 분석 결과, 공격에 사용된 IP 주소는 총 6,972개로 밝혀졌다. Criminal IP(https://www.criminalip.io) 에서는 Inbound 스코어를 Dangerous, Critical 일 경우 차단해야 할 IP 주소로 규정하고 있다. 공격에 사용된 모든 IP 주소 Score를 확인해본 결과, 4,402개 IP 주소가 Dangerous, Critical 등급으로 판단되었다. 특히 Critical 등급을 받은 IP 주소는 58.5%로 전체의 반 이상 이였으며 Dangerous 등급을 합치면 총 합은 약 63%의 IP 주소가 위험 등급으로 확인되었다.
| Score | Count |
|---|---|
| Safe | 1,060 |
| Low | 621 |
| Moderate | 889 |
| Dangerous | 303 |
| Critical | 4,099 |
디도스 공격에 사용된 IP 주소 6,972개의 Criminal IP Score 결과
SMB Worm, Malicious IP 주소 악성 이력
먼저 확인할 수 있었던 대량의 IP주소는 Scanner 부류였다. 아래 Criminal IP 의 IP주소 조회 화면을 보면, 이 IP주소에서 2022.6.21 15시 35분 , 2022.7.8 20시 52분 경에 SMB negotiation을 요청한 것을 확인할 수 있다. SMB Worm에 감염되어 SMB 스캐닝을 주기적으로 수행하는 것이다. SMB는 파일/프린터 공유 프로토콜인데, 프로토콜(NBT)상에서 동작하는 넷바이오스(NetBIOS)를 통해 네트워크 네임과 IP 주소가 할당된 컴퓨터들이 서로 통신할 수 있도록 한다. 해커들은 SMB 포트가 열려있는 것을 확인하고 협상에 성공 하면 brute force attack을 통해 PC의 개인정보를 획득, 서버 IP에 접근하게 된다. 때문에, 해커들은 전 세계의 SMB 포트에 대해 수시로 스캐닝을 수행하고 있다.
이런 IP주소들은 악성코드에 감염된 상태이기 때문에 SMB Worm 외에도 C2 서버의 지령에 따라 다른 공격을 수행하기도 한다. IP Address Category 항목의 결과를 보아도 해당 IP 주소는 KISA의 DDoS IP, Spam, Fail2ban의 Bruteforce IP로 분류되는 등 다양한 악성 흔적들이 보이고 있다. 심지어 스팸 메일로도 악성 이력이 보여졌다.
디도스 공격에 사용된 IP 주소 중 “Scanner”로 분류된 IP 주소 검색 결과
디도스 공격 IP 주소의 악성 이력이 조회된 “IP Address Category “항목 결과
원격 제어 IP 주소로 디도스 공격 명령
Criminal IP (https://www.criminalip.io) 에서 Remote로 분류된 IP 주소들은 22 (SSH), 3389 (RDP) Port가 열려있는 IP 주소들이다. 해커가 어떤 서버를 감염 시킨 후에는 해당 서버 IP 주소에 지령을 내리는 등 컨트롤을 하는데, 이 때 C2 악성코드를 활용하거나, 원격제어 프로토콜을 활용할 때도 있다. 아래 180.xxx.xxx.194 IP 주소의 경우는 22번 포트에서 OpenSSH 가 가동되어 있다. 심지어 이 OpenSSH 프로토콜은 보안 취약점이 있는 상태로, CVE-2021-41617 , CVE-2021-36368 등 12건의 취약점이 매핑되어있다. 이는 OpenSSH 7.4 의 오래된 버전 어플리케이션을 사용한 탓으로 보인다.
공격자는 IP 주소를 감염 시킨 후 IP 주소에 OpenSSH 를 설치해 놓았을 수도 있다. 혹은, 이미 공격표면에 노출되어 있는 OpenSSH 보안 취약점을 악용해 서버에 침투, 서버를 장악했을 수도 있다. 결과적으로, 공격자는 OpenSSH 를 통해 이 IP 주소에 각종 명령을 내리며 컨트롤 할 수 있다. 그 외에 23(telnet) 포트나 3389 (RDP) 포트가 노출되어있는 IP주소도 다수 확인되었다.
디도스 공격 IP 주소 중 22 (SSH), 3389 (RDP) Port가 열려있는 원격서버 IP 주소
디도스 공격 IP에서 발견된 OpenSSH 프로토콜 보안 취약점. CVE-2021-41617 , CVE-2021-36368 등 12개 취약점이 매핑되어있다.
우회된 IP주소(VPN, Tor, Proxy), 그리고 서버 IP 주소로 자동화된 로그인 공격
공격에 사용된 IP주소의 상당수는 Hosting, VPN, Tor, Proxy 와 연계되어 있다는 것을 알 수 있었다. 이는 공격자가 실제 IP 주소를 숨기고 우회하기 위한 기술을 사용한 것으로 짐작할 수 있다. 특히, 최근 로그인 공격이나 Fraud를 시도 하는 경우, 공격자가 IP 주소를 숨기기 위하여 VPN 을 사용하는 패턴이 매우 많다. 같은 관점에서 Proxy IP 나 Tor IP 역시 우회 목적으로 사용된다고 볼 수 있다.
또한 호스팅으로 사용되는 IP 주소는 특별히 눈 여겨 볼 필요가 있다. 사용자가 로그인에 사용하는 IP주소는 모바일 IP 주소나 가정집 IP 주소, 기업의 오피스 IP 주소여야 정상이다. 하지만 AWS 나 Azure, 그리고 Tencent Cloud 등의 호스팅 서버에서 로그인이나 회원가입이 시도된다면 그것은 자동화된 공격의 일환으로 간주할 수 있다. 따라서 로그인 대입 공격이나 Get Flooding Attack 분석 시 들어오는 IP 주소가 호스팅 IP 주소인지 살펴보는 작업도 필요하다.
아래 내용은 이번 공격에 사용된 IP 주소들이 원격제어 IP 주소, VPN 과 Proxy, Tor, 그리고 호스팅으로 사용되는지 여부를 Criminal IP로 분류하여 낸 통계 값이다. 원격제어가 과반수 이상이긴 하지만 VPN 과 Proxy, Tor, Hosting IP주소들이 상당히 많이 포함되어 있다는 것을 알 수 있다.
* Dirty Count = Score가 Dangerous 이상인 IP 수 / Total은 중복 제거
| IP Category | Count | Dirty Count |
|---|---|---|
| Hosting | 518 | 169 |
| VPN | 2,019 | 1,485 |
| Tor | 518 | 517 |
| Proxy | 2,120 | 1,338 |
| Remote | 6,966 | 4,398 |
| Total | - | 4,402 |
원격제어, VPN, Proxy, Tor, 호스팅으로 사용중인 디도스 공격 IP 주소의 통계
국가 정보, 그리고 해커가 즐겨 사용하는 호스팅 서버
국가들을 확인해보면 인도네시아 IP가 총 773개로 가장 많았고, 그 다음으로는 미국, 중국, 러시아가 다른 국가에 비해 압도적으로 많은 수치를 보여주고 있었다. ISP와 대조해보았을 때 1위는 인도네시아 기업이지만, 그 뒤로는 대부분 중국 기업이 차지하고 있었다. 미국의 경우 ISP가 다양한 기업으로 분산되어 있다 보니 IP 주소 개수에 비해서 ISP 순위는 낮게 나타났다. ISP에 대해 분석한 결과, 대부분이 통신 업체였으며, 192건의 PT Telkom Indonesia 는 인도네시아의 다국적 통신 대기업이었다. 4번째로 많은 Hangzhou Alibaba Advertising Co., Ltd 기업에서 제공하는 호스팅 서버는 중국 내에서도 악성 서버로 사용되는 이력이 높다는 이야기가 많다.
Top 10 Country
| No. | County | Count |
|---|---|---|
| 1 | ID | 773 |
| 2 | US | 655 |
| 3 | CN | 520 |
| 4 | RU | 412 |
| 5 | DE | 190 |
| 6 | TH | 185 |
| 7 | AR | 153 |
| 8 | PL | 91 |
| 9 | IR | 87 |
| 10 | MX | 81 |
Top 10 ISP
| No. | ISP | Count | Country |
|---|---|---|---|
| 1 | PT Telkom Indonesia | 192 | Indonesia |
| 2 | China Telecom | 166 | China |
| 3 | Tencent cloud computing | 157 | China |
| 4 | Hangzhou Alibaba Advertising Co.,Ltd. | 124 | China |
| 5 | TOT | 88 | Thailand |
| 6 | China Unicom | 49 | China |
| 7 | Chunghwa Telecom | 18 | Taiwan |
| 8 | LG DACOM Corporation | 16 | South Korea |
| 9 | Hipernet Indodata | 14 | Indonesia |
| 10 | Cyberindo Aditama | 8 | Indonesia |
디도스 공격 사례, IP Intelligence 로 99% 탐지 가능
이번 디도스 공격 사례 데이터로 분석한 IP 주소 결과 중 단순히 스코어링만 보았을 때 Critical 과 Dangerous 에 해당하는 IP 주소는 4,402개로 전체의 63.1% 에 해당된다. 그리고 Low, Moderate 로 진단된 IP 주소라 하더라도 그중에서 36.6% 은 IP 주소 우회의 가능성이 높은 VPN 이나 Proxy, Tor IP 주소이거나, 자동화된 공격으로 예상되는 호스팅 서버 IP 주소였다. 즉, Critical, Dangerous, VPN, Proxy, Tor, Hosting 이 모든 필드로 IP주소들을 걸러내 보면 0.3%를 제외한 99.7%가 IP Intelligence 로 보았을 때 위험도가 있는 IP주소로 판단된다.
IP주소 인텔리전스로 분류한 디도스 공격 IP 주소의 악성 진단 통계
VPN, Proxy 등으로 분류된 IP 주소가 무조건 나쁘다고 볼 수는 없지만, 해당 카테고리의 IP 주소 중에도 취약점이 발견되거나 공격에 사용된 흔적들이 있는 경우가 많다. 때문에 우회 IP 주소 항목에 대해서도 이상행위 유무를 반드시 체크해야 한다. 즉, 악성 기록이 있는 IP 주소에 대해서만 대응 하는 것보다는 VPN 서비스 가동 유무, Tor, Proxy 유무, 그리고 호스팅 서버로부터 들어온 로그인이나 회원가입인지 까지 살펴보는 것이 로그인 공격 등의 각종 대입공격을 탐지하는 데 더욱 효과적일 수 있다.
관련하여 Log4j 제로데이 취약점이 공개되었을 당시 Criminal IP 허니팟의 Log4j 공격 트래픽 데이터로 공격 패턴과 IP 주소를 분석한 리포트를 참고해도 좋다.
데이터 출처 : Criminal IP (https://www.criminalip.io)
관련 글 :
https://blog.criminalip.io/2022/01/12/log4j-attack-ip-address/?lang=ko
댓글 남기기