Detection and Response Technology for Botnets

2008. 6. 25.

정 현 철

hcjung@kisa.or.kr

2 KRnet 2008

목 차

1. 봇넷 개요

2. 봇넷의 진화

3. 봇넷 탐지 및 대응 방안

4. 능동형 봇넷 탐지 및 대응 방향

3 KRnet 2008

1. 봇넷 개요

봇(Bot), 봇넷(Botnet)?

봇넷의 특성

봇넷을 통한 공격 및 피해 사례

발생 현황

4 KRnet 2008

봇(Bot), 봇넷(Botnet)?

• 봇(Bot)- 훼손된 시스템에서 동작하는 종속 프로세스로써, 조종자와 통신

- Botmaster 또는 botherder는 악성 행위를 수행하도록 봇들에게 명령을 내림

• 봇넷(Botnet) : 봇들과 조종자로 구성된 네트워크

봇넷 마스터

1. 최초전파

2. 취약점 공격

3. IRC 서버 접속

4. 명령/제어

5. 변종업데이트/공격명령

6. DDoS, 스팸발송 등공격 / 봇 전파

Command & Control Server

Botnet 서버 / 호스트

5 KRnet 2008

봇넷의 특성

스팸발송

Distributed DoS 공격

Ad-Ware, 스파이웨어, 기타 Trojans 설치

트래픽 스니핑

키 로깅(Key Logging)

정보 불법수집

피싱사이트

스팸의 70~80%이상이봇넷과 관련

경쟁상대 또는 특정사이트 대상 공격

금전적인 이득을 위해악성코드를 설치

ID, Passwd 같은 정보수집을 위해 패킷 수집

민감한 정보 추출

은행계좌, 신용카드 ID, Password 등

봇 감염 시스템을 피싱사이트로 활용

• 봇넷의 특성- 봇은 웜/바이러스, 백도어, 스파이웨어, 루트킷 등 다양한 악성코드들의 특성을 복합적으로 지님

- 상당히 많은 종류의 변종이 등장하여 안티바이러스 솔루션으로 대응하기 어려운 상황임

- 봇넷을 통해 DDoS, Ad-ware, Spyware, 스팸발송, 정보불법 수집 등 다양한 공격이 가능

- 공격자에 의해 봇좀비로 구성된 봇넷을 마음대로 제어가 가능하며, 그 수법이 지능화 되고 있음

6 KRnet 2008

봇넷을 통한 공격 및 피해 사례 (1/2)

• 인터넷 미래 최대 위협은 “봇넷(Botnet)”- 가장 심각한 네트워크 위협 : 봇넷, DDoS 공격

- ’07년 1억~1억5천 컴퓨터가 봇넷에 감염되어 공격 수행에 사용될 것으로 예상

(Vint Cerf, TCP/IP 프로토콜 공동 창시자)

- 연간 파악된 봇넷 개수는 1,200~1,400개, 좀비의 수는 50만~300만 유지 (Shadowserver, 2007)

- 인터넷에 연결된 PC의 11% 이상이 봇에 감염된 좀비 PC (Damballa, 2007)

- 매일마다 새로운 5,000개의 악성코드가 유포되고 있음 (TechNewsWorld, 2007)

- 봇넷 C&C 서버 국가별 통계 4위(시만텍리포트, 2007) : 초고속 인터넷 환경으로 강력한 공격 가능

Source: Worldwide Infrastructure Security Report,Arbor Networks, Sep. 2007

’07년 2월6일, 2개의 루트서버가 5시간

동안 공격받았고, 이에 2월 8일 미국은

공격 진원지에 사이버 역대응 공격 또는

실제 폭탄을 투여하겠다고 발표

(전체 트래픽 중 한국발 : 61%)

※ C&C : Command & Control

7 KRnet 2008

봇넷을 통한 공격 및 피해 사례 (2/2)

• 봇넷을 통한 공격이 증가하고 있으며, 점차 범죄화 양상을 띰- 서비스 업체에 협박하여 금품 갈취하는 사건 발생 증가※ 게임 업체 웹사이트를 DDoS 공격해 서비스를 못 하게 한 후 협박해 돈을 갈취한 일당 구속

※ 2007년 9월 말부터 20여일간 아이템베이 등 아이템 거래업체 서비스 장애 유발 및 현금요구 협박※ 홍커(중국해커), “공격 안할게 돈내놔”, DDoS 공격으로 서버를 다운시키겠다고 협박해 받아가는 상납금이

연간 10억원을 넘음(2008)

- 애드웨어 설치, 금융정보 수집, 피싱사이트 활용 등 금융범죄를 위한 정보수집으로 활용

- 스팸발송의 대표적인 수단으로 활용(70~80% 차지)

WebServer (xx.co.kr)

Attacker

1) Attacker posts ip.txt2) downloads ip.txtfile

3) Connect to C&CAnti.exe

Anti.exe

Anti.exe

C&C server

Target

4) DDoS attack

온라인게임아이템거래사이트 DDoS 사례(’07)

8 KRnet 2008

발생 현황

• Damballa의 최근 보고에 따르면 인터넷에 연결된 PC의 11% 이상이 봇에 감염된 좀비 PC임

• 전세계적으로 C&C 서버와 악성 봇은 광범위하게 분포하고 있고 특정 지역적으로 밀집되는 양상을

보임

<C&C and drones map 2007, Shadowserver.org>

9 KRnet 2008

2. 봇넷의 진화

명령/제어 방식의 진화

감염경로의 다양화

탐지 우회 방식

10 KRnet 2008

명령/제어 방식의 진화 (1/3)

Bot 관리자• Domain Name이 필요하지 않아,

Domain Name 구입비용 절약

• 분산 제어 (Distributed control)

• 탐지 및 차단이 어려움

• 대표적인 P2P 봇넷 : Storm

명령

참여 멤버들이 모두 C&C 역할을 수행하여 그룹에

명령전파(ex. Buddy-list)

•중앙집중형 명령/제어 방식에서 분산형 명령/제어 방식으로 발전

•중앙집중형 방식에 있어서, 탐지 및 차단을 어렵게 하기 위해 IRC 방식에서 HTTP 방식으로 전환

•탐지방해 : 암호 통신(SSL) / HTTP 봇 경우, 80 포트 사용 / IRC 봇 경우, 포트 변경 / Fast-Flux

적용

명령/제어 IRC 서버

명령/제어(IRC 프로토콜)

• 다수의 Domain Name 확보하여

C&C 서버 등록(Fast-Flux 적용)

• 중앙집중형 제어

• 암호통신(SSL) 및 포트 변경

• 대표적인 IRC 봇넷 : Rbot

취약 호스트

감염

명령/제어 웹 서버

명령/제어(80 웹 포트)

• 서비스 중인 웹서버를 해킹하여

C&C 서버로 악용

• 중앙집중형 제어

• 웹 프로토콜 탐지/차단 어려움

• 대표적인 HTTP 봇넷 : Robax

취약 호스트

감염

11 KRnet 2008

명령/제어 방식의 진화 (2/3)

• 명령/제어를 위해 2가지 이상의 프로토콜을 사용하는 하이브리드 형태로 진화- 2008년 2월 Damballa에서 보고된 P2P 봇넷(MayDay Worm)

- 봇 클라이언트와 C&C 서버는 기본적으로 HTTP를 이용하여 통신

- HTTP 채널을 생성하지 못할 경우 TCP 또는 암호화된 ICMP를 이용하여 봇들끼리 통신

HTTPHTTP

HTTP HTTP

HTTP

Bot 관리자 Bot 관리자

ICMP

ICMP

ICMP

ICMP

ICMP

ICMP

ICMP

ICMP

HTTP 통신 채널을 생성하지 못할 경우

중앙 집중형 구조 분산형 구조

12 KRnet 2008

명령/제어 방식의 진화 (3/3)

• 다수의 중앙 집중 포인트(C&C서버)가 존재하는 하이브리드형태로 진화- 다수의 C&C서버는 P2P 프로토콜을 이용해 명령을 전달 받음

- 봇에 감염된 좀비 PC는 초기 C&C접속 목록(Peer list)를 이용해 임의의 C&C로 접속

- 특정 C&C가 탐지되더라도 나머지 봇넷은 그대로 유지됨

Bot 관리자

Servent bots

Client bots

13 KRnet 2008

감염경로의 다양화

• MS Windows 취약점을 이용한 감염

• 인터넷 웜 및 기존 백도어를 이용한 감염

• E-Mail 첨부 파일을 이용한 사회 공학적 방법

• 웹서버를 이용한 감염

• IM(MSN 등)을 이용한 감염

• 다양한 제목을 가지는 이메일의 첨부 파일을 이용

해 전파되는 Storm worm

클릭시 자동 연결

• 만우절 내용을 담고 있는 메일의 링크 클릭시 웹페이지에

포함되어있는 악성 봇(foolsday worm) 파일 자동 다운 로드

14 KRnet 2008

탐지 우회 방식 (1/5)

• 봇넷 탐지 회피를 위한 다양한 기술이 추가됨- C&C서버와 봇 사이의 통신 데이타 조절을 통해 트래픽 집중 형상을 막음

- 특정 시간 동안 C&C서버로 새로운 봇이 접속하지 않을 경우 이후 접속하는 모든 봇들을 차단

Bot 관리자 Bot 관리자

정상적으로 명령 전달 명령을 전달하지 않음

C&C서버의 트래픽이임계치를 초과 했을 경우

특정 시간동안 새로운 봇이C&C 서버로 접속하지 않을 경우

이후 접속하는 모든 봇들을 차단

15 KRnet 2008

탐지 우회 방식 (2/5)

Botnet

명령/제어 서버(IRC/HTTP웹 서버)Bot 관리자

DNS 서버

1. 취약점 악용(취약점 스캐닝)

2. Bot 다운로드

3. DNS Lookup

4. 참여

6. 명령

5. 명령명령/제어 서버 이동

(Fast-Flux)

암호화 통신(SSL),다양한 포트 사용 및

HTTP 봇넷의 경우, 웹 포트(80) 사용하여 탐지를 어렵게 함

다양한 변종의 등장

Packing/압축/암호화등 을 통한 호스트기

반 탐지 우회

VM/Debugger/Sandbox 탐지 및 우회

Stealthy Scanning

Rogue DNS 서버(VDNS)

DNS 싱크홀 우회로봇넷 공격 방지 및 봇 좀비리스트

파악을 어렵게 함

• 악성코드의 진화- 악성코드 변경 : 다양한 변종, Packing/압축/암호화 기술 적용- 악성코드 지능화 : VM(Virtual Machine), 디버거, 샌드박스 탐지 봇 활동 정지

- 감염 지능화 : Stealthy Scanning

취약 호스트

16 KRnet 2008

탐지 우회 방식 (3/5)

디버거 탐지 기술VM 탐지 기술

• 악성 봇의 코드 실행 전 VM(Virtual Machine)에서

동작 중인지 확인

• VM이 실행 중이라면 누군가 자신을 분석

하는 중으로 판단하여 실행 중지나 디버깅 방해

• 분석 시간을 지연 시키려는 목적

• 악성 봇 코드 실행 전 디버거가 실행 중 인지 판단

• 디버거가 실행 중일 경우 분석 지연을 목적으로

실행 중지나 디버깅 방해

예) 1. IsDebuggerPresent() API를 이용

2.직접 PEB-BeingDebugged 값 확인

예) IsDebuggerPresent() API를 이용한 디버거 탐지예)VMWare 탐지 코드

17 KRnet 2008

탐지 우회 방식 (4/5)

• Packing

- 악성 봇 실행 파일 압축, 암호화 등을 통해 백신 프로그램의 탐지 우회

- Packing된 실행 파일은 메모리 로딩 시 unpacking 과정을 통해 복구

18 KRnet 2008

탐지 우회 방식 (5/5)

• RootKit을 사용하는 악성코드- 최근 악성 봇은 Rootkit기술을 이용하여 감염사실 은폐 및 백신프로그램에 의한 탐지 우회

- 프로세스 리스트, 파일 리스트, 레지스트리 키, 오픈 포트정보등을 숨김

- RootKit을 사용하는 봇넷 : Storm Worm(Peacomm)

Anti-VirusScanner

OperatingSystemRootkit

List Files List Files

Memo.docSales.xlsPeacomm.exeSophos.ppt

Memo.docSales.xlsSophos.ppt

19 KRnet 2008

3. 신종 봇넷 탐지 및 대응방안

봇넷 탐지 및 대응 기술 동향

행위기반 탐지 기술

네트워크 기반 탐지 기술

국내 대응 현황

P2P 봇넷 완화 기술

20 KRnet 2008

봇넷 탐지 및 대응 기술 동향

• 기술 적용 대상 : 호스트 기반 vs 네트워크 기반

• 기술 특성 : 시그니쳐 기반 vs 행위기반

Action!!!

(봇넷 Join, 파일 삭제, 등)

패턴 부합여부

호스트 기반 시그니쳐 기반네트워크 기반 행위 기반

• 네트워크 트래픽을 분석하여 비정상 봇넷 트래픽 탐지

• 오탐의 소지가 있고 현재는 탐지율이 매우 낮은 수준임

• Peakflow(Arbor–DDoS전용), Bothunter(공개솔루션)

• HTTP/P2P 봇넷에 대한 탐지 및 대응 한계

• 네트워크 트래픽을 분석하여 비정상 봇넷 트래픽 탐지

• 오탐의 소지가 있고 현재는 탐지율이 매우 낮은 수준임

• Peakflow(Arbor–DDoS전용), Bothunter(공개솔루션)

• HTTP/P2P 봇넷에 대한 탐지 및 대응 한계

• 분석된 악성코드의 패턴을 이용하여 탐지

• 알려지지 않은 신종, 변종 악성코드 탐지가 어려움

• AntiVirus 솔루션(V3, norton 등)

• 분석된 악성코드의 패턴을 이용하여 탐지

• 알려지지 않은 신종, 변종 악성코드 탐지가 어려움

• AntiVirus 솔루션(V3, norton 등)

시그니처 기반

• 악성코드의 이상 행위를 기반으로 탐지

• 탐지/분석 회피기술을 사용 / 오탐의 소지가 있음

• Sandbox(Norman, CW), Antibot(Norton)

• 악성코드의 이상 행위를 기반으로 탐지

• 탐지/분석 회피기술을 사용 / 오탐의 소지가 있음

• Sandbox(Norman, CW), Antibot(Norton)

• 보유 비정상 트래픽 패턴을 이용하여 봇 트래픽 탐지

• 패턴을 벗어나는 경우, 탐지가 불가능(우회하기 쉬움)

• IDS, IPS : 주로 DDoS 공격 탐지 (봇넷 구성 탐지 불가)

• HTTP/P2P 봇넷에 대한 탐지 및 대응 한계

• 보유 비정상 트래픽 패턴을 이용하여 봇 트래픽 탐지

• 패턴을 벗어나는 경우, 탐지가 불가능(우회하기 쉬움)

• IDS, IPS : 주로 DDoS 공격 탐지 (봇넷 구성 탐지 불가)

• HTTP/P2P 봇넷에 대한 탐지 및 대응 한계

행위 기반

호스트기반

네트워크기반

시그니쳐

21 KRnet 2008

행위 기반 탐지 기술 - AT&T Labs

• 보안장비 로그를 이용한 봇넷 탐지 시스템- IDS, IPS, Firewall등의 로그 정보를 수집

- 로그와 트래픽 연관 분석을 통해 봇넷의 상태 (호스트 감염->봇넷 구성->감염 전파->공격) 탐지

개선사항

- 실시간 탐지를 할 수 없음

- 보안장비 로그에 의존적임

- HTTP/P2P 신규 봇넷 대응 방안이 부족함

IDS Logs

22 KRnet 2008

행위 기반 탐지 기술 - Georgia Tech

• Bothunter- 네트워크 기반의 Anomaly Detection 공개 솔루션

- 봇의 침투 과정을 Bot Infection Dialog Model이라는 일련의 흐름을 가진 모델로 정리

- 3가지 센서와 IDS에 독립적인 다이얼로그 상관관계 엔진을 이용하여 실시간 탐지 가능

개선사항

- 다양한 기법 적용(스텔스 스캔, 채널암호, 명령/제어패턴 변경 등)으로 오탐과 미탐이 발생

- HTTP/P2P 신규 봇넷 대응 방안이 부족함

- 기존 도메인 네임 웹서버를 악용하는 경우, 행위 기반 탐지가 어려움

23 KRnet 2008

행위 기반 탐지 기술 – 고려대학교

• DNS기반의 봇넷 탐지 시스템[고려대학교]- 봇넷 고유의 그룹행위에 기반한 봇넷 탐지

- IRC 봇들이 C&C서버의 IP주소를 얻기 위해 발생하는 DNS쿼리를 이용

- 시간을 슬롯으로 나누고, 특정 타임슬롯 내에 여러 번 보내진 도메인 네임 주소 리스트를 저장

- 각 도메인 네임 주소 리스트로 쿼리한 IP리스트들의 유사도를 비교

개선사항

- 사용중인 웹서버 도메인 네임을 해킹한 경우 탐지가 어려움

24 KRnet 2008

네트워크 기반 탐지 기술

• 스팸 메일 발송 시 발생하는 대량의 MX쿼리를 이용한 탐지- 정상적인 사용자는 Domain내의 메일서버 또는 ISP의 메일서버를 사용함

- 봇에 감염된 좀비 PC는 스팸 메일 발송을 위해 다른 DNS서버로 MX쿼리를 발생함

개선사항

- DDos공격에 주로 이용되는 봇넷에 대한 탐지는 어려움

- 대량의 스팸 메일을 발생하는 웜과 구별할 수 없음

25 KRnet 2008

국내 대응현황(1/2)

• KISA 인터넷 침해사고대응지원 센터 봇넷 대응 : Best Practice of the World!!!- 봇C&C 정보 수집 : Honeynet DNS 로그, 악성코드 수집시스템, 외부 사이트, 사고분석(KrCERT/CC)

- DNS RR 적용 : 주요 24 ISP/SO/호스팅업체, 2005년 8월 이래로 6,000 domain names 이상 적용

- 봇넷 모니터링/대응 : 봇넷 싱크홀 네트워크 관리, 각 ISP별 봇 감염 IP/봇C&C 통계

※ DNS RR : DNS Resource Record

DNS Sinkhole 적용 전 DNS Sinkhole 적용 후

26 KRnet 2008

DNS RR Update

Control System

Zombie C&C

Zombie PCs ISP DNS

Sinkhole IP notification

Zombie C&C Resolution

Internet Sinkhole connection

국내 대응현황(2/2)

27 KRnet 2008

P2P 봇넷 완화 기술

개선사항

- P2P 봇넷을 완전히 무력화 시킬 수 없음

- 하이브리드 형태의 명령/제어 방식을 사용하는 봇넷을 완화 할 수 없음

Original Contents

Key Contents

Polluted Contents

Key Contents

Key Contents Key Contents

Key Contents

Key Contents

Key Contents

1. Bot들이 검색하는 Key에대한 Content정보 획득

2. Key에 대해 유효하지 않은값으로 content를 수정

3. Key에 해당하는 content검색시 수정된 content를 얻게 됨

• P2P 연결 정보를 poisoning함으로써 봇넷의 활동을 완화시킬 수 있음- 봇넷 모니터링 또는 봇 샘플 분석을 통해 P2P 봇넷의 정보(Index, Perr 목록 등)를 수집

- 봇들이 검색하는 Key에 대응하는 Content를 유효하지 않은 값으로 설정하여 봇넷에 전파

- 봇들은 잘못된 정보로 인해 추가 악성 행위에 필요한 데이터를 전달 받지 못함

28 KRnet 2008

4. 능동형 봇넷 탐지 및 대응 방향

행위기반 봇넷 탐지 시스템

봇넷 관제 및 보안 관리 시스템

호스트기반 능동형 탐지/대응 시스템

29 KRnet 2008

행위기반 봇넷 탐지 시스템

명령/제어 서버

분산형 봇넷(P2P)

봇 전파

사용자 단말

DNS

중앙집중형 봇넷(IRC, HTTP)

봇 전파

DNS 쿼리(C&C 접속, 악성코드 다운로드, C&C 서버 이주, 주기적인

Ping/Pong, DDoS 공격명령/제어, 악성코드

봇넷 탐지 센서

봇넷 행위 이벤트(DNS 쿼리 패턴, Netflow 정보)

그룹 행위기반봇넷 탐지시스템

명령/제어, 악성코드

• 그룹행위 기반 봇넷 탐지 기술 개발 필요- 악성 봇이 형태 및 특성에 상관없이 네트워크 트래픽 분석을 통한 행위기반의 봇넷 탐지 기술

- 다양한 유형의 봇넷 탐지를 위해 봇넷 고유의 그룹행위를 기반으로 봇 C&C 및 좀비 리스트 탐지

- 최근 증가하고 있는 HTTP/P2P 봇넷 탐지 및 대응

30 KRnet 2008

봇넷 관제 및 보안관리 시스템

• 봇넷 종합관제 및 보안관리 시스템 필요- 봇넷 구성, 분포, 행동, 변동사항 확인을 위한 시각화/통계/리포트 기능

- 봇넷 공격 완화를 위한 능동형 대응 및 보안관리 기술

※ DNS싱크홀/BGP Feeding 자동 관리 기술

※ P2P 봇넷 응집도 완화 기술

탐지 정보

봇넷 종합 관제 / 보안관리 시스템

그룹 행위기반봇넷 탐지시스템

DNS

DNS

DNS 싱크홀

ISP 보안 관제

DNS 싱크홀, BGP Feeding 제어

봇넷 정보(봇 C&C, 좀비리스트, 변동사항 등), 경보

※ BGP : Border Gateway Protocol

31 KRnet 2008

호스트기반 능동형 탐지/대응 시스템

• 호스트기반 능동형 탐지/대응 기술 필요- 탐지우회 지능형 악성코드 탐지 및/분석 기술

- 실시간 봇의 행위를 모니터링 할 수 있는 기술

- 사용자 측면에서 대응할 수 있는 악성코드 감염 통보 및 치료유도 기술

봇넷 종합 관제 /보안관리 시스템

봇넷 감염 여부

탐지우회 지능형 악성코드탐지/분석 도구

중앙집중형 봇넷(IRC, HTTP)

분산형 봇넷(P2P)

봇 감염 봇넷 위장 잠입/ 실시간봇넷 정보

봇넷 정보

위장봇 기반 실시간모니터링 시스템

사용자 단말

봇 감염통보/치료유도 서버

호스트기반 봇넷트래픽 차단에이젼트

허니팟

32 KRnet 2008

질의 & 응답