xcorp::When it rains, it pours.

"The nice thing about rain," said Eeyore, "is that it always stops. Eventually."

韓国で大規模DDoS攻撃被害

たまにはこういうネタも書いておかないとね。

アン・チョルス研究所、国内40ウェブサイトのDDoS攻撃警報


- 4日午後6時30分攻撃予想..2009年より17箇所多い主要機関が攻撃対象
- ASEC,CERTはじめ戦時非常対応体制稼動
- 緊急専用ワクチン開発無料配布..既存V3ユーザは最新バージョンで治療
- 企業/機関はDDoS防御統合セキュリティシステム、セキュリティ監視サービスなど必要


グローバル統合セキュリティ企業のアン・チョルス研究所(代表キム・ホンソン、www.ahnlab.com)はDDoS(Distributed Denial of Service,分散サービス拒否)攻撃が国内40ヵ所のウェブサイトを対象に3月4日今日10時から発生していて、同日午後6時30分から再度発生すると予想した。


これに伴い、アン・チョルス研究所はASEC(セキュリティ対応センター)とCERT(コンピュータ侵害事故対応センター)をはじめとして戦時非常対応体制を稼動する一方、DDoS攻撃を誘発する悪性コードの専用ワクチンを開発して無料提供する。


今回の攻撃は去る2009年7月7日から9日まで国内17ヵ所のウェブサイトを狙った7.7DDoS大乱時と似ている。攻撃対象は40箇所で、ネイバー、ダウム、オークション、ハンゲーム、dcインサイド、Gマーケット、大統領府、 外交通商部、国家情報院、統一部、国会、国家代表ポータル、防衛産業庁、警察庁、国税庁、 関税庁、国防部、合同参謀本部、陸軍本部、空軍本部、海軍本部、駐韓米軍、国防広報院、 米8軍戦闘飛行団、放送通信委員会、行政安全部、韓国インターネット振興院、アン・チョルス研究所、金融委員会、 国民銀行、ウリ銀行、ハナ銀行、外換銀行、新韓銀行、第一貯蓄銀行、農協、キウム証券、 大信証券、韓国鉄道公社、韓国水力原子力(株)だ。


DDoS攻撃を誘発する悪性コードは ntcm63.dll,SBUpdate.exe,ntds50.dll,watcsvc.dll,soetsvc.dll,mopxsvc.dll,SBUpdate.exe などだ。これら悪性コードが設置されたPCはいわゆる「ゾンビPC」になって一斉に特定のウェブサイトを攻撃する。アン・チョルス研究所のセキュリティ専門家たちは、3月3日に初の報告を受けて分析した結果、攻撃対象と攻撃時刻を把握した。同時にゾンビPCを最小化するために専用ワクチンを迅速に開発した。


アン・チョルス研究所はこれら悪性コードを診断/治療できる緊急専用ワクチン( http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe )を開発して、個人はもちろん企業/機関にも無料提供中だ。個人用無料ワクチン「V3 LIte」( http://www.V3Lite.com )をはじめとして、「V3 365クリニック」( http://v3clinic.ahnlab.com/v365/nbMain.ahn )、V3 Internet Security 8.0等すべての製品のユーザは、使用中の製品の最新バージョンで診断/治療することができる。


一方、これら悪性コードはDDoS攻撃の他にV3エンジンアップデートを提供するインターネットアドレスのホストファイルを変更してアップデートを邪魔する。またPC内文書およびソースファイルを任意に圧縮する症状もある。


悪性コードが流布した経路は、国内P2Pサイトのシェアボックスとスーパーダウンだと明らかになった。攻撃者はこれらのサイトをハッキングして、シェアボックスのアップデートファイルとスーパーダウンサイトに上げられた一部ファイルに悪性コードを挿入して流布した。流布日時は3月3日07時〜09時と推定される。


アン・チョルス研究所のキム・ホンソン代表は「PCがDDoS攻撃に悪用されないようにしようとするなら普段からセキュリティ上の規則を実践することが重要だ。OSのセキュリティパッチを最新の状態に維持して、ワクチンプログラムを設置して常に最新バージョンに維持してリアルタイム検査機能を有効にしておかなければならない。また、Eメール、メッセンジャーの添付ファイルやリンクURLをむやみに開かずに、P2Pサイトでファイルをダウンロードする際にはワクチンで検査する習慣が必要だ。また、ウェブサイトを運営する企業/機関ではDDoS遮断機能があるネットワークセキュリティソリューションやセキュリティ監視サービスを利用して被害を最小化することが重要だ」と強調した。


(中略)


DDoS攻撃を誘発する悪性コードのファイル名とV3製品群の診断名>

  • ntcm63.dll : Win-Trojan/Agent.131072.WL
  • SBUpdate.exe : Win-Trojan/Agent.11776.VJ
  • ntds50.dll : Win-Trojan/Agent.118784.AAU
  • watcsvc.dll : Win-Trojan/Agent.40960.BOH
  • soetsvc.dll : Win-Trojan/Agent.46432.D
  • mopxsvc.dll : Win-Trojan/Agent.71008
  • SBUpdate.exe : Win-Trojan/Npkon.10240 <Ahn>
http://blog.ahnlab.com/ahnlab/1055

アン・チョルス研究所、DDoS攻撃に関連する追加事項


DDoS(Distributed Denial of Service,分散サービス拒否)攻撃が国内40ヵ所のウェブサイトを対象に発生しています。3月4日今日10時から29ヵ所が攻撃を受け、同日午後6時30分から40ヵ所が攻撃を受けるだろうと予測されています。


DDoS攻撃用の悪性コードのうちの一部がハードディスクを損傷させてデータを破壊するなど個人PCに致命的な損傷を起こすことが確認されました。正確な破壊時点は分析中であり、確認し次第お知らせします。


攻撃対象の29ヵ所


今回の攻撃は去る2009年7月7日から9日まで国内23ヵ所のウェブサイトを狙った7.7DDoS大乱時と似ています。


ネイバー、ダウム、ハンゲーム、dcインサイド、 Gマーケット、大統領府、外交通商部、統一部、国会、国家代表ポータル、防衛産業庁、警察庁、 国税庁、国防部、合同参謀本部、陸軍本部、空軍本部、海軍本部、駐韓米軍、行政安全部、 韓国インターネット振興院、アン・チョルス研究所、金融委員会、国民銀行、外換銀行、新韓銀行、農協、キウム証券、 大信証券。


4日6時30分の攻撃対象40ヵ所は、ネイバー、ダウム、オークション、ハンゲーム、dcインサイド、Gマーケット、大統領府、 外交通商部、国家情報院、統一部、国会、国家代表ポータル、防衛産業庁、警察庁、国税庁、 関税庁、国防部、合同参謀本部、陸軍本部、空軍本部、海軍本部、駐韓米軍、国防広報院、 第8戦闘飛行団、放送通信委員会、行政安全部、韓国インターネット振興院、アン・チョルス研究所、金融委員会、国民銀行、 ウリ銀行、ハナ銀行、外換銀行、新韓銀行、第一銀行、農協、キウム証券、大信証券、 韓国鉄道公社、韓国水力原子力(株)。

http://blog.ahnlab.com/ahnlab/1057