XOR.DDoS 공격 이해

2021년 2월 17일

무료로 씨디네트웍스를 이용해보세요

지금 바로 신청하면, 씨디네트웍스의 다양한 솔루션을 한 달간 무료로 체험하실 수 있습니다.

이 게시물 공유하기

2015년 9월에 Linux 악성코드를 사용하여 초당 150기가비트(Gbps) 이상의 대규모 XOR.DDoS 공격이 발생했습니다. XOR.DDoS는 Linux 시스템에 영향을 미치는 데 사용되는 공격 이름이 아닌 악성 코드 이름입니다.

2014년 9월에 탐지되었으며 SIRT(Security Intelligence Response Team)를 비롯한 다양한 사이버 보안 서비스 회사 및 블로그에서 이 Linux 트로이 목마 악성코드에 대한 분석을 게시했습니다.

오래 전의 분산 서비스 거부 공격이 오늘날에도 여전히 관련이 있습니까? 여러 가지 면에서 이 가이드에서는 XOR.DDoS에 대한 분석과 이에 대응하는 방법을 제공합니다.

XOR.DDOS 악성코드란 무엇입니까?

전통적인 공격은 Linux 시스템의 기존 취약점을 활용하여 운영 체제를 악용했습니다. 그러나 XOR.DDoS는 Windows PC를 좀비 PC로 만들어 C&C(Command & Control) 서버를 통해 공격을 시작합니다.

XOR.DDoS 공격은 SYN 및 DNS의 의미 없는 문자열을 포함하여 대량의 데이터를 생성하여 네트워크를 무력화하는 데 사용됩니다.

이는 데이터 양이 대부분의 일반 기업의 네트워크 처리 용량과 대역폭을 초과하기 때문에 네트워크에 매우 심각한 위협이 됩니다.

이러한 기본 대상 외에도 UDP는 상위 수준에서 대량 트래픽을 차단하는 데 사용되었습니다. 그러나 XOR.DDoS 공격은 소규모 네트워크 회선으로는 차단할 수 없는 TCP를 사용한다.

BruteForce 공격이란 무엇입니까?

무차별 암호 대입 공격은 올바른 암호를 얻을 때까지 많은 무작위 암호를 시도합니다. 다음을 포함하여 다양한 유형의 무차별 대입 공격이 있습니다. 사전 공격 단어의 조합을 시도하여 복호화 키나 암호를 결정하는 공격, 모든 키를 입력하는 무작위 공격, 미리 정의된 해시 테이블을 사용하는 무지개 공격.

XOR.DDOS 공격의 기원

77.1 %의 XOR.DDoS 공격은 중국과 미국에서 주로 Cloud 서비스를 사용하는 Linux 서버에서 발생했습니다. 교육 기관 및 게임 부문과 마찬가지로 많은 대규모 클라우드 서비스 공급자도 XOR.DDoS 맬웨어의 피해자였습니다. 또한 대부분의 경우 SSH 서비스(22/TCP)를 사용하고 있어 적절한 관리 및 클라우드 보안 해킹당했습니다.

XOR.DDoS 공격에 대한 대응책

XOR.DDoS 공격은 데이터를 포함하는 SYN Flooding+의 형태로 이루어진다. SYN은 3방향 핸드셰이크를 수행하는 프로세스일 뿐이며 SYN 패킷에 데이터를 포함할 필요가 없습니다.

데이터가 있는 SYN 패킷이 감지되면 모든 SYN 패킷을 차단하여 XOR.DDoS 공격을 물리칠 수 있습니다. 또한 2015년 발생한 SYN 플러딩 + SYN 스푸핑 공격에도 SYN 쿠키를 사용하는 것이 좋다. 스푸핑에 SYN 쿠키가 효과적이고 유용하기 때문이다.

SYN 쿠키는 시퀀스 번호에 쿠키 값을 포함하고 쿠키 값을 마지막에 SEQ – 1 = 쿠키 값과 비교하여 SYN 스푸핑을 효과적으로 차단합니다.

SYN 쿠키는 응답을 기다리는 데 특정 시간이 필요하지 않습니다. 두 값이 동일하지 않으면 패킷이 폐기됩니다. 따라서 SYN 쿠키는 스푸핑 공격을 차단하는 매우 효과적인 방법입니다.

또는 First SYN DROP이 두 번째 대책이 될 수 있습니다. 이 기술은 첫 번째 SYN 패킷 정보를 메모리에 저장하고 패킷을 삭제하는 방식으로 작동합니다. 세션 요청이 정상이면 동일한 IP 주소로 SYN 요청을 다시 보냅니다. 공격을 요청하면 다른 IP에서 또 다른 SYN 요청을 받게 됩니다.