앞서 다룬 Fast-Flux 도메인을 탐지하기 위해서는 여러가지 방법이 있지만, 네임서버에서 DNS 쿼리 로그를 수집하여 분석하는 것이 가장 간단한 방법 중 하나일 것입니다. 

가장 대중적으로 사용하는 네임서버인 BIND의 경우, 기본적으로 DNS 쿼리를 로그로 남기지 않습니다. 그렇기 때문에 별도의 설정을 해야합니다. 일단 간단하게 쿼리를 로그로 남기게 설정해둔 named.conf 파일을 살펴보겠습니다.

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
        channel default_dnshit {
                file "data/dnshit.log";
                print-time yes;
        };
        category queries {
                default_dnshit;
        };
};

어떤 것인지 대충 감이 오나요? 

서버에 쿼리(category queries)가 오면, default_dnshit; 설정에 따라 로그를 남기라고 하는 것입니다.

channel default_dnshit은 dnshit.log라는 파일에 로그를 남기고(file "data/dnshit.log";), 시간을 남기도록(print-time yes;) 설정되어 있습니다.

이 설정에 따라 dnshit.log 에 남겨진 로그를 살펴보면 다음과 같습니다.

[root@******* data]# tail -f dnshit.log
19-Jan-2012 17:00:27.772 client 121.167.11.1#25401: query: nchovy.kr IN A -E
19-Jan-2012 17:00:36.320 client 121.138.224.7#15593: query: nchovy.kr IN A -E
19-Jan-2012 17:00:38.275 client 210.94.11.122#13063: query: xeraph.com IN A -E
19-Jan-2012 17:00:48.782 client 210.94.11.106#15154: query: ns2.nchovy.com IN A -E
19-Jan-2012 17:00:48.782 client 210.94.11.106#50051: query: ns3.nchovy.com IN A -E
19-Jan-2012 17:01:08.538 client 207.46.200.37#49745: query: ns1.nchovy.com IN A -

이런식으로 파일에 쿼리 로그를 남긴 후, 파싱하여 분석할 수 있습니다. 그러나 이렇게 한다면 매번 로그를 보기 위해 DNS 서버에 접속해서 별도의 파일을 살펴봐야 합니다.

그러나 bind 의 설정과 syslog 의 설정을 이용해 syslog로 남기거나, 외부의 syslog 서버로 보낼 수도 있습니다.

named.conf 에 아래와 같이 설정을 추가하였습니다. 굵게 표시된 부분이 추가된 부분입니다.

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
        channel default_dnshit {
                file "data/dnshit.log";
                print-time yes;
        };
        channel syslog {
                syslog local7;
        };
        category queries {
                default_dnshit;
                syslog;
        };
};

syslog에 로그 분류(facility) local7 으로 보내도록 설정이 추가되었습니다. 기본적으로 syslog 설정에는 local7 설정이 없기 때문에 아래에 나와있는 설정을 syslog.conf 에 추가합니다. syslog에서 시간을 기록하기 때문에 시간을 기록하는 옵션("print-time yes;")은 설정하지 않습니다.

local7.*                        /var/log/local7

이렇게 설정을 추가한 뒤 named 와 syslog를 재시작하고, /var/log/local7 파일을 보면 아래와 같이 로그가 기록됩니다.

[root@******* log]# tail -f local7
Jan 19 16:58:29 ******* named[12230]: client 202.188.1.27#36711: query: krakenapps.org IN A -
Jan 19 16:58:33 ******* named[12230]: client 208.78.69.150#58826: query: ns2.nchovy.com IN A -E
Jan 19 16:58:33 ******* named[12230]: client 208.78.69.150#18435: query: krakenapps.org IN A -E
Jan 19 16:58:33 ******* named[12230]: client 208.78.69.150#13351: query: ns3.nchovy.com IN A -E
Jan 19 16:58:37 ******* named[12230]: client 193.254.230.2#59556: query: ns2.nchovy.com IN A -E
Jan 19 16:58:37 ******* named[12230]: client 193.254.230.2#24909: query: ns4.nchovy.com IN A -E
Jan 19 16:58:37 ******* named[12230]: client 193.254.230.2#18610: query: ns3.nchovy.com IN A -E
Jan 19 16:58:37 ******* named[12230]: client 193.254.230.2#3692: query: ns1.nchovy.com IN A -E

이 로그를 원격으로 보내기 위해선 아래처럼 syslog.conf 를 수정하면 됩니다.

local7.*                        @100.100.100.100

그리고 해당 syslog 서버가 로그를 받도록 설정합니다.

레퍼런스

• 네임서버(bind 9)에서 로그 설정(logging)
• BIND 9 Configuration Reference
• Remote Host Logging with syslogd
• 원격 로그 서버 만들기 완벽 가이드

이 글에서는 Fast Flux 서비스 네트워크가 무엇인고 어떻게 동작하는지, 어떻게 탐지하고 대응해야 하는지 다룬다. 현실에서 온라인 피싱사이트나 맬웨어 호스트에 대한 접근을 차단하기가 쉽지 않은데, 그 이유는 방화벽에서 특정 IP를 차단하더라도 DNS와 봇넷을 이용하여 계속해서 IP를 바꾸고 차단을 회피하여 살아남기 때문이다.

Fast Flux는 TTL을 매우 짧게 주고 도메인에 다수의 IP 주소를 매핑한다. 따라서 클라이언트는 같은 도메인이라 해도 매번 다른 IP 주소로 접속하게 된다. 공격자는 자신이 장악하고 있는 호스트(즉, 좀비)에 피싱 사이트, 스팸 사이트, 맬웨어 업데이트 서버 등을 운영하고, 도중에 복구되거나 차단되면서 제어권을 잃어버린 호스트들은 떨어내면서 Fast Flux 네트워크를 유지한다.

Fast Flux 도메인이 가리키는 호스트들은 프론트엔드 서버 혹은 프록시 역할을 할 뿐이고 실제로는 모선에 해당하는 C&C 서버로부터 데이터를 받아 서비스하게 된다. C&C 서버를 차단하면 전체 Fast Flux 네트워크를 셧다운 시킬 수 있겠지만, 한 단계 뒤에 숨어있는 C&C 서버를 찾아내기란 쉽지 않다. 공개된 자료에 의하면 단 두 대의 C&C 서버가 수천개의 Fast-Flux 도메인을 운영하면서 네트워크를 유지한 경우도 있었다고 한다.

위 도식은 honeynet.org에서 가져온 것으로, Single Flux 운영 방식을 보여주고 있다. 위와 같이 flux.example.com을 요청했을 때 네임서버가 좀비 PC의 IP 주소를 반환하고, 좀비가 C&C로부터 내려받은 악성 컨텐츠를 클라이언트에게 반환하는 방식을 Single Flux라 부른다.

Single Flux에서 한 단계 더 나아가면 Double Flux가 된다. Double Flux는 Authoritative 네임서버 도메인도 여러 개 등록해서 이중으로 Fast-Flux 네트워크를 구성하는 것을 의미한다.  이러한 구성을 하게 되면 더 추적과 차단이 어려워지고, 한 두 개 호스트가 단절된다고 해도 안정적으로 전체 네트워크가 유지되는 특성을 가지게 된다. 이들은 뒤에 숨어있는 C&C 서버만 관리하면 되므로 비용을 적게 들이고 차단을 회피하면서 악성 컨텐츠를 효과적으로 뿌릴 수 있다.

맬웨어들은 Fast Flux 네트워크를 이용해서 안정적으로 업데이트를 수행할 수 있게 되고, 각종 변종을 만들어내거나 DDoS 공격 명령을 수신하면서 움직일 수 있다. 어떤 맬웨어들은 시간의 흐름과 미리 정해진 규칙에 따라 도메인 이름을 동적으로 만들어내면서 접속을 시도하고 다운로드한다. 이 경우 미리 정해진 도메인 이름이 아니기 때문에 생성될 수 있는 모든 조합의 도메인을 차단하는 것도 어렵다. (만약 도메인 주소 생성 규칙을 알고 도메인을 미리 등록한다면 얼마나 많은 수의 호스트가 해당 맬웨어에 감염되었는지 파악할 수도 있을 것이다.) 

의심되는 도메인 주소를 확보했다면, 일정한 주기로 DNS 쿼리를 수행하면서 IP 주소 집합을 수집할 수 있다. 만약 TTL이 매우 짧고 비교적 최근에 등록된 도메인이면서 시간이 지남에 따라 전체 IP 주소 집합이 계속해서 증가한다면 이는 Fast Flux 도메인으로 규정할 수 있다. DNS 정보를 모니터링하면서 수집된 IP를 분석하면 외부에서도 어느 회사/조직이 감염되었는지 파악할 수 있을 뿐 아니라, 전체 봇넷의 크기를 유추할 수 있고, IP 집합의 유사성으로 각 악성 도메인 간의 연관 관계를 분석할 수 있다.

원문

• Xeraph@NCHOVY : Fast-Flux 도메인 탐지

레퍼런스

• Know Your Enemy: Fast-Flux Service Networks
• Stormcast: Fast Flux Hosting

지난주에 진행된 MS 2012년 1월 보안 업데이트에 대한 내용입니다. 총 7개의 업데이트가 나왔습니다.

플랫폼을 명시하지 않으면, 해당 제품군의 모든 플랫폼을 포함하는 것입니다.

MS12-001(중요) - 윈도우 커널 보안 기능 우회 취약점

윈도우 XP(32비트)를 제외한, 윈도우 XP(64비트), 비스타, 7, 서버 2003, 2008, 2008 R2 에 해당 취약점이 있습니다.

• 윈도우 커널 SafeSEH 우회 취약점(CVE-2012-0001)
  윈도우 커널이 예외 처리 테이블을 읽어들이는 방식에 문제가 있어 보안 기능을 우회할 수 있는 취약점이 있습니다. 공격자는 이 취약점을 악용하여 SafeSEH를 우회한 다음 다른 취약점을 악용할 수 있습니다.

MS12-002(중요) - 윈도우 오브젝트 패키저 원격 코드 실행 취약점

윈도우 XP, 윈도우 서버 2003에 해당 취약점이 있습니다.

• 오브젝트 패키저의 안전하지 않은 라이브러리 실행 취약점(CVE-2012-0009)
  윈도우가 윈도우 오브젝트 패키저를 등록하고 사용하는 방식에 문제가 있어 원격 코드가 실행되는 취약점이 있습니다. 공격자는 이 취약점을 악용하여 시스템 전체 권한을 획득할 수 있습니다.

MS12-003(중요) - 윈도우 클라이언트/서버 런타임 서브시스템 권한 상승 취약점

윈도우 XP, 비스타, 서버 2003, 2008에 해당 취약점이 있습니다.

• CSRSS 권한 상승 취약점(CVE-2012-0005)
  CSRSS가 조작된 유니코드 문자를 처리하는 과정에 문제가 있어 권한 상승이 되는 취약점이 있습니다. 공격자는 취약점을 악용하여 로컬 시스템에 임의의 코드를 실행할 수 있습니다. 공격자는 이 취약점을 악용하여 시스템 전체 권한을 획득할 수 있습니다. 

MS12-004(긴급) - 윈도우 미디어 원격 코드 실행 취약점

윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

• 미디 원격 코드 실행 취약점(CVE-2012-0003)
  윈도우 미디어 플레이어에 원격 코드 실행 취약점이 있습니다. 공격자가 특수하게 조작한 미디파일을 윈도우 미디어 플레이어로 재생하게 되면, 공격자가 삽입한 원격 코드가 실행됩니다. 공격자는 이 취약점을 악용하여 시스템 전체 권한을 획득할 수 있습니다.
• 다이렉트 쇼 원격 코드 실행 취약점(CVE-2012-0004)
  윈도우가 미디어 파일을 다루는 방식에 문제가 있어 원격 코드가 실행되는 취약점이 있습니다. 사용자가 특수하게 조작된 미디어 파일을 열게되는 순간 원격 코드가 실행되게 됩니다. 공격자는 이 취약점을 악용하여 로그인 한 사용자와 동일한 권한으로 임의의 명령을 실행할 수 있습니다.

MS12-005(중요) - 윈도우 원격 코드 실행 취약점

윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

• 어셈블리 실행 취약점(CVE-2012-0013)
  윈도우 패키저가 오피스 파일을 포함하고 있는 클릭원스 애플리케이션을 읽어들이는 방식에 문제가 있어 원격 코드가 실행되는 취약점이 있습니다.

MS12-006(중요) - SSL/TLS 정보 노출 취약점

윈도우 XP, 비스타, 7, 서버 2003, 2008, 2008 R2에 해당 취약점이 있습니다.

• SSL, TLS 프로토콜 취약점(CVE-2011-3389)
  SSL 3.0과 TLS 1.0  암호화 프로토콜에 정보 노출 취약점이 있습니다. 이 취약점은 해당 프로토콜 뿐만 아니라 윈도우 운영체제에도 영향을 끼칩니다. 이 취약점으로 암호화된 SSL/TLS 트래픽을 풀어낼 수 있습니다. 브라우저가 공격 당할 수 있는 가장 큰 요소이기 때문에 이로 인해 HTTPS 트래픽과 HTTP/HTTPS 혼합 트래픽이 가장 큰 영향을 받습니다.

MS12-007(중요) - AntiXSS 라이브러리 정보 노출 취약점

Microsoft Anti-Cross Site Scripting Library V3.x and Microsoft Anti-Cross Site Scripting Library V4.0 에 해당 취약점이 있습니다.

• AntiXSS 라이브러리 우회 취약점(CVE-2012-0007)
  AntiXSS 라이브러리가 특수하게 조작된 HTML 파일을 처리하는 과정에 정보 노출 취약점이 있습니다. 사용자가 올리는 HTML에서 발생할 수 있는 XSS 공격을 AntiXSS로 대비할 수 있으나, 공격자는 이 취약점을 악용하여 XSS 공격을 할 수 있습니다. 공격자는 라이브러리를 우회하여 악의적인 스크립트를 삽입하고, 정보를 노출하도록 할 수 있습니다. 이 취약점으로 임의의 코드를 실행하거나, 권한 상승을 하는 등 직접적인 공격은 할 수 없지만, 이를 기반으로 다른 공격을 시도할 수 있습니다.