최근 인터넷 상에서 봇넷을 이용한 사이버 공격이 증가하고 있으며, 이러한 공격들은 금전적 이득을 목적으로 하고 있어 범죄화 양상을 보이고 있다. 봇넷을 이용하는 사이버 공격으로는 스팸 발송, 분산서비스 거부(DDoS) 공격, 악성코드 및 맬웨어(malware) 전파, 피싱, 개인정보 유출 등이 있다. IRC나 HTTP 봇넷과 같은 중앙 봇넷은 그 탐지나 완화 방법의 연구가 다수 존재하지만, P2P 봇넷에 대한 연구는 아직 초기 단계이다. 본 논문에서는 다양한 네트워크 공격의 능동적 분석에 활용되는 허니넷을 이용하여 P2P 기반 Storm 봇 중의 하나안 Peacomm 봇이 발생시키는 트래픽을 분석하였다. 그 결과 Peacomm 봇이 P2P를 통해 광범위한 외부 네트워크의 좀비를 대상으로 다량의 UDP 패킷을 발생시키는 것을 확인하였다. 또한 이를 통해 Peacomm 붓이 봇넷의 규모를 유지하거나 확장한다는 것을 알 수 있었다. 이는 P2P 봇넷을 탐지하고 완화시킬 수 있는 대응기술 마련의 기초로써 사용될 수 있을 것으로 기대된다.
최근 인터넷 상에서 봇넷을 이용한 사이버 공격이 증가하고 있으며, 이러한 공격들은 금전적 이득을 목적으로 하고 있어 범죄화 양상을 보이고 있다. 봇넷을 이용하는 사이버 공격으로는 스팸 발송, 분산서비스 거부(DDoS) 공격, 악성코드 및 맬웨어(malware) 전파, 피싱, 개인정보 유출 등이 있다. IRC나 HTTP 봇넷과 같은 중앙 봇넷은 그 탐지나 완화 방법의 연구가 다수 존재하지만, P2P 봇넷에 대한 연구는 아직 초기 단계이다. 본 논문에서는 다양한 네트워크 공격의 능동적 분석에 활용되는 허니넷을 이용하여 P2P 기반 Storm 봇 중의 하나안 Peacomm 봇이 발생시키는 트래픽을 분석하였다. 그 결과 Peacomm 봇이 P2P를 통해 광범위한 외부 네트워크의 좀비를 대상으로 다량의 UDP 패킷을 발생시키는 것을 확인하였다. 또한 이를 통해 Peacomm 붓이 봇넷의 규모를 유지하거나 확장한다는 것을 알 수 있었다. 이는 P2P 봇넷을 탐지하고 완화시킬 수 있는 대응기술 마련의 기초로써 사용될 수 있을 것으로 기대된다.
Recently, the cyber-attacks using botnets are being increased, Because these attacks pursue the money, the criminal aspect is also being increased, There are spreading of spam mail, DDoS(Distributed Denial of Service) attacks, propagations of malicious codes and malwares, phishings. leaks of sensiti...
Recently, the cyber-attacks using botnets are being increased, Because these attacks pursue the money, the criminal aspect is also being increased, There are spreading of spam mail, DDoS(Distributed Denial of Service) attacks, propagations of malicious codes and malwares, phishings. leaks of sensitive informations as cyber-attacks that used botnets. There are many studies about detection and mitigation techniques against centralized botnets, namely IRC and HITP botnets. However, P2P botnets are still in an early stage of their studies. In this paper, we analyzed the traffics of the Peacomm bot that is one of P2P-based storm bot by using honeynet which is utilized in active analysis of network attacks. As a result, we could see that the Peacomm bot sends a large number of UDP packets to the zombies in wide network through P2P. Furthermore, we could know that the Peacomm bot makes the scale of botnet maintained and extended through these results. We expect that these results are used as a basis of detection and mitigation techniques against P2P botnets.
Recently, the cyber-attacks using botnets are being increased, Because these attacks pursue the money, the criminal aspect is also being increased, There are spreading of spam mail, DDoS(Distributed Denial of Service) attacks, propagations of malicious codes and malwares, phishings. leaks of sensitive informations as cyber-attacks that used botnets. There are many studies about detection and mitigation techniques against centralized botnets, namely IRC and HITP botnets. However, P2P botnets are still in an early stage of their studies. In this paper, we analyzed the traffics of the Peacomm bot that is one of P2P-based storm bot by using honeynet which is utilized in active analysis of network attacks. As a result, we could see that the Peacomm bot sends a large number of UDP packets to the zombies in wide network through P2P. Furthermore, we could know that the Peacomm bot makes the scale of botnet maintained and extended through these results. We expect that these results are used as a basis of detection and mitigation techniques against P2P botnets.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
IRC나 HTTP 봇넷과 같은 중앙 집중형 구조의 봇넷은 그 탐지나 완화 방법에 대한 기존 연구가 다수 존재하지만 (5-7], P2P 봇넷에 대한 연구는 아직 초기 단계이다. 따라서 본 논문에서는 P2P 봇넷의 탐지 및 완화 연구에 기초를 마련하고자 다양한 네트워크 공격의 능동적 분석에 활용되는 허니넷 (honeynet) 을 이용하여 P2P 기반 Storm 봇 중의 하나인 Peacomm 봇이발생시키는 트래픽을 분석하였다.
본 논문에서는 P2P 봇넷을 탐지 및 완화할 수 있는 대응기술 마련을 위한 기초로써 허니넷을 구축하고 각각의 허니팟에 P2P 기반의 Storm 봇 중 하나인 Peacomm 봇을 감염시켜 트래픽 분석에 대한 내용을 기술하였다. 이를 통해 Peacomm 봇이 다량의 UDP 패킷을 발생시키며, 자신이 속한 네트워크 서브넷의 감염된 PC들과 통신하기보다는 P2P를 통해 광범위한 외부 네트워크의 감염된 PC들과 통신함으로써 그 규모를 유지하거나 확장하고, 더 넓은 범위의 네트워크를 형성하는 것으로 나타났다.
비교함으로써 봇넷을 탐지하고자 하였다. 본 논문에서는 P2P 봇넷이 가지는 행위적 특징을 찾아 P2P 봇넷을 탐지하고 완화시킬 수 있는 대응기술에 대한기초를 마련하기 위해〔그림 3〕과 같이 허니넷을 구축하였으며, 이를 이용하여 각각의 허니팟에 P2P 기반의 Storm 봇 중 하나인 Peacomm 봇을 감염시킨 후, 허니팟에서 발생하는 P2P 봇의 전체적인 트래픽을 분석하였다.
본 논문에서는 Storm 봇넷의 통신을 파악하기 위해 허니팟이 같은 봇넷에 포함된 다른 감염된 PC들에게 자신을 알리고, 통신 대상을 찾는 과정에서 실제로 네트워크 주소가 얼마나 많은 IP 주소들과 연관되는지 알아보기 위한 분석을 수행하였다. 또한 분석에 앞서 IP 주소의 상위 16 비트를 고정하고 이에 속하는 IP 주소들을 분류하도록 기준을 정하여 이를 '16-Bit Pre敞로 지칭하였다.
제안 방법
다음으로는 허니팟에서 나가고 들어오는 UDP 패킷의 포트 번호를 분석하였다. 허니팟은 봇 감염 초기에 다른 감염된 PC들과 통신을 하기 위해 자신을 알리는 과정에서 특정 포트 번호를 임의로 선택하며, 이렇게 선택된 한 개의 특정 포트 번호를 통해 UDP 패킷을 보내고 받는다.
따라서 우리는 주로 이용되는 특정 범위의 포트 번호가 존재할 것으로 예상하고, 포트 번호를 1000개씩 구분하여 해당 범위에 속하는 포트 번호의 수가 얼마나 되는지 분석하였다.〔그림 9〕는 이러한 분석 결과를 나타낸 것이다.
이러한 UDP 패킷들은 허니팟에 감염되고 얼마 지나지 않아 급격히 증가한 후, 시간이 흐름에 따라 일정한 양을 유지하며 증가와 감소를 반복하는 패턴을 보였다. 또한 Peacomm 봇이활동을 하면서 생성하는 UDP 패킷 및 IP 주소, spooldr.ini 파일을 분석하여 16-Bit Prefix 별로 분류하고 이에 따른 관련 IP 주소와의 관계를 파악하였으며 , 이용되는 포트 번호의 범위를 분석하였다. 이러한 분석을 통해 나온 결과들은 향후 트래픽 변화를 이용한 행위 기반의 프레임워크 설계 등의 대응기술을 마련하는데 활용할 수 있을 것으로 기대된다.
그 비율은 낮다고 볼 수 있다. 또한 같은 네트워크 서브넷에 속해 있어 비슷한 IP 주소를 가지는 감염된 PC들과 통신하기보다는 지속적으로 피어 리스트를 교환함으로써 더 넓은 범위의 외부 네트워크에 속해 있는 감염된 PC들과 통신을 한다. 이는 같은 네트워크 서브넷에 속한 감염된 PC들의 경우, 내부 네트워크에서 이러한 감염된 PC들 간의 통신을 차단해버린다면 봇넷의 활동 규모 및 위력에 큰 영향을 미치기 때문에 감염된 PC들이 P2P를 이용하여 더 넓게 분산되어 있는 감염된 PC들과 통신을 함으로써 그 규모를 유지하거나 확장하고, 광범위한 네트워크를 형성하는 것이다.
분석 과정은 허니팟에 Peacomm 봇을 감염시킨 직후 10시간 동안의 패킷에 저장된 IP 주소를 16-Bit Prefix 별로 분류하였으며, 〔표 3〕은 이러한 분류 결과를 나타낸 것으로 총 4, 385개의 16-Bit Prefix로 분류되었다. 전체의 60.
ini 파일에는 다른 감염된 PC들의 IP 주소와 포트 번호가 16진수 형태로 저장되어 있다. 이 파일의 내용을 읽어서 10진수로 자동 변경시키도록 간단한 프로그램을 작성하였으며, 이를 통해 16진수 데이터를 10진수로 변경한 후 위에서와 마찬가지로 16-Bit Prefix별로 포함된 IP 주소의 개수를 파악하였다.〔표 4〕는 Peacomm 봇을 허니팟에 총 4차례 감염시킨 후 생성된 각각의 spooldr.
이론/모형
또한 eth3는 허니월 서버에 SSH 접속 및 SFTP 접속을 할 수 있도록 교내망의 IP를 부여함으로써 트래픽 모니터링과 관리, 트래픽 덤프 파일 다운로드가 가능하다. 허니 넷 구축 도구로는 허니넷 프로젝트(honeynet project)에서 배포하는 허니월 CD Roo 1.4 버전을 사용하였으며, 이는 CentOS 및 Snort를 기반으로 하는 데이터 제어 도구, 데이터 캡처 도구, 데이터 분석 도구를 모두 포함한다〔12〕.
허니월에서 트래픽을 관찰하기 위해 Tshark를 사용하였다. Tshark는 윈도우 환경에서 널리 사용되는 네트워크 트래픽 캡처 도구인 Wireshark의 콘솔용 커맨드 라인 버전이다〔18〕.
성능/효과
것이다. 10시간동안 저장된 전체 패킷 수는 12, 107, 062개였으며, UDP 패킷은 11, 987, 673개로 99.01%를 차지하였고 그 외에는 ICMP 패킷이 0.93%, TCP 패킷이 0.06%를 차지하였다. 또한 30 분간 발생하는 평균 패킷 수는 약 605, 353개이고, 그중 UDP 패킷은 599, 383개였다.
2008년 8월부터 10월까지 3개월간 Peacomm 봇을 감염시킨 허니팟에서 발생되는 모든 트래픽에 대하여 샘플링을 하지 않고 저장도록 하였으며 , 30분마다 생성되는 덤프 파일의 크기는 평균 약 55MB이었다.
허니팟이 다른 감염된 PC들과 통신을 하기 위해 이용되는 포트 번호는 주로 35000번 이하의 포트 번호에 집중해 있으며 11000번 및 12000번대의 포트 번호가 가장 많이 이용되는 것을 알 수 있다. 결론적으로 각각의 포트 번호들은 중복성이 크지 않지만 주로 이용되는 포트 번호 범위가 존재하는 것을 알 수 있다.
Peacomm 봇이 감염된 직후 1분 정도는 트래픽 이거의 발생하지 않다가 1분 후에는 트래픽이 갑자기 증가하여 발생하는 초당 패킷 수가 최대 900개 정도이며’ 그 이후로는 발생하는 초당 패킷 수의 최대치는 점차 감소하고 최소치는 점차 증가하는 패턴을 보인디-. 또한 7분 정도가 지나면 발생하는 초당 패킷 수의 최대치와 최소치는 각각 약 500개 정도와 150개 정도로 거의 일정하게 유지된다.〔15〕에 따르면.
또한 허니팟이 통신을 하는 피어들의 IP 주소는 whois IP 검색〔19, 20〕및 국가별 IP 대역 도구〔21〕 를 통해〔그림 7]과 같이 세계 전역에 걸쳐서 분포되어 있는 것을 확인하였으며 , 그중에서도 유럽이 가장 큰 비율을 보였다.〔그림 8〕은 IP 주소의 상위 8 비트에 속하는 IP 주소들을 분류하여 나타낸 것으로, 이를 통해 Storm 봇넷을 형성하는 피어들은 특정 IP 주소 대역에 집중해 있다는 것을 알 수 있다.
또한 선택되는 포트 번호는 봇감염 시마다 달라진다. 분석 결과 허니팟이 통신하는 대상들에 대한 UDP 패킷의 포트 번호는 다양하였다. 이는 허니팟과 통신하는 각각의 감염된 PC들도 봇 감염 초기에 포트 번호가 임의로 선택되기 때문이다.
UDP 패킷 수는 Peacomm 봇이 활동을 함에 있어서 생성되는 패킷의 대부분을 차지하고 있었다. 이러한 UDP 패킷들은 허니팟에 감염되고 얼마 지나지 않아 급격히 증가한 후, 시간이 흐름에 따라 일정한 양을 유지하며 증가와 감소를 반복하는 패턴을 보였다. 또한 Peacomm 봇이활동을 하면서 생성하는 UDP 패킷 및 IP 주소, spooldr.
이를 통해 Peacomm 봇이 다량의 UDP 패킷을 발생시키며, 자신이 속한 네트워크 서브넷의 감염된 PC들과 통신하기보다는 P2P를 통해 광범위한 외부 네트워크의 감염된 PC들과 통신함으로써 그 규모를 유지하거나 확장하고, 더 넓은 범위의 네트워크를 형성하는 것으로 나타났다. UDP 패킷 수는 Peacomm 봇이 활동을 함에 있어서 생성되는 패킷의 대부분을 차지하고 있었다.
분류되었다. 전체의 60.86%에 해당하는 2, 669개의 16-Bit Prefix는 단 1개의 IP 주소와 연관되었고, 10개 이상의 IP 주소와 연관된 16-Bit Prefix는 90개(2.05%)였으며, 최대 94개의 연관 IP 주소를 포함하는 것도 있었다. 비록 2.
후속연구
일반적인 P2P 파일 공유 프로그램이 특정 포트를 이용하여 데이터를 주고받는 방식과 다르게 다양한 IP 및 포트 번호에 대하여 다량의 UDP 패킷이 발생하는지와 각 통신 대상과 매우 짧은 시간동안 통신을 하는지 판단하는 방법 , 일정한 시간 간격을 두고트래픽량이 증가와 감소를 빠르게 반복하는지 파악하는 방법 등을 이용하여 프레임워크의 설계에 대한 연구를 진행할 예정이다. 또한 Peacomm 외에 다른 P2P 봇넷의 트래픽을 분석함으로써 이들 사이에 공통된 특징을 도출하고 엔트로피를 이용한 행위 기반의 봇넷 탐지 프레임워크 개발을 통해 수시로 변화하고 등장하는 봇넷에 빠르게 대처하기 위한 방법의 연구를 진행할 계획이다.
ini 파일을 분석하여 16-Bit Prefix 별로 분류하고 이에 따른 관련 IP 주소와의 관계를 파악하였으며 , 이용되는 포트 번호의 범위를 분석하였다. 이러한 분석을 통해 나온 결과들은 향후 트래픽 변화를 이용한 행위 기반의 프레임워크 설계 등의 대응기술을 마련하는데 활용할 수 있을 것으로 기대된다. 특히 대량의 UDP 패킷 발생에 의한 트래픽 증가 특성을 이용한 탐지 프레임워크나 알고리즘 개발에 활용할 수 있을 것으로 예상된다.
방법. 일반적인 P2P 파일 공유 프로그램이 특정 포트를 이용하여 데이터를 주고받는 방식과 다르게 다양한 IP 및 포트 번호에 대하여 다량의 UDP 패킷이 발생하는지와 각 통신 대상과 매우 짧은 시간동안 통신을 하는지 판단하는 방법 , 일정한 시간 간격을 두고트래픽량이 증가와 감소를 빠르게 반복하는지 파악하는 방법 등을 이용하여 프레임워크의 설계에 대한 연구를 진행할 예정이다. 또한 Peacomm 외에 다른 P2P 봇넷의 트래픽을 분석함으로써 이들 사이에 공통된 특징을 도출하고 엔트로피를 이용한 행위 기반의 봇넷 탐지 프레임워크 개발을 통해 수시로 변화하고 등장하는 봇넷에 빠르게 대처하기 위한 방법의 연구를 진행할 계획이다.
이러한 분석을 통해 나온 결과들은 향후 트래픽 변화를 이용한 행위 기반의 프레임워크 설계 등의 대응기술을 마련하는데 활용할 수 있을 것으로 기대된다. 특히 대량의 UDP 패킷 발생에 의한 트래픽 증가 특성을 이용한 탐지 프레임워크나 알고리즘 개발에 활용할 수 있을 것으로 예상된다.
향후 연구 과제로는 봇넷의 탐지 및 완화를 위한 대응기술로써 트래픽을 모니터링하여 정상적으로 발생하는 트래픽과 다르게 UDP 패킷의 양이 순간적으로 증가할 경우 그 증가량을 임계치(threshold)와 비교하는 방법. 일반적인 P2P 파일 공유 프로그램이 특정 포트를 이용하여 데이터를 주고받는 방식과 다르게 다양한 IP 및 포트 번호에 대하여 다량의 UDP 패킷이 발생하는지와 각 통신 대상과 매우 짧은 시간동안 통신을 하는지 판단하는 방법 , 일정한 시간 간격을 두고트래픽량이 증가와 감소를 빠르게 반복하는지 파악하는 방법 등을 이용하여 프레임워크의 설계에 대한 연구를 진행할 예정이다.
참고문헌 (21)
F. Freiling, T. Holz, and G. Wicherski, 'Botnet Tracking-Exploring a RootCause Methodology,' ESORICS 2005, LNCS 3679, pp. 319-335, 2005
D. Barroso, 'Botnets-The Silent Threat,' ENISA Position Paper, no. 3, pp. 1-9, Nov. 2007
박찬호, 강권학, 권영찬, 장희진, 김철호, '메모리 감시를 이용한 허니팟 기반의 봇넷 역추적.' 한국정보과학회 한국컴퓨터종합학술대회논문집. pp. 25-28. 2007년 6월
전용희, 오진태, '봇넷 분류법 및 진화된 봇넷 구조.' 정보보호학회지. 18(4), pp. 76-86, 2008년 8월
R. Puri 'Bots & Botnet: An Overview,' GSEC Practical Assignment Version 1.4b, SANS Institute, Aug. 2003
J. Canavan, 'The evolution of malicious IRC bots,' Proceedings of Virus Bulletin Conference 2005, pp. 104-114, Oct. 2005
J.B. Grizzard, V. Sharma, C. Nunnery, B.B. Kang, and D. Dagon, 'Peer-to-peer botnets: Overview and case study,' Proceedings of 1st Workshop on Hot Topics in Understanding Botnets (HotBots'07), Apr. 2007
이한우, 최현상, 이희조, 'DNS 기반의 봇넷 탐지 시스템.' 한국정보처리학회 추계학술발표대회논문집. pp. 1379-1382. 2006년 11월
T. Holz, M. Steiner, F. Dahl. E. Biersack, and F. Freiling, 'Measurements and Mitigation of Peer-to-Peer Based Botnets: A Case Study on Storm Worm,' Proceedings of the 1st USENIX Workshop on Large-scale Exploits and Emergent Threats (LEET'08), pp. 1-9, Apr. 2008
A. Karasaridis, B. Rexroad, and D. Hoeflin, 'Wide-Scale Botnet Detection and Caracterization,' Proceedings of 1st Workshop on Hot Topics in Understanding Botnets (HotBots'07), Apr. 2007
P. Bacher, T. Holz, M. Kotter, and G. Wicherski, 'Know Your Enemy: Tracking Botnets,' The Honeynet Project & Research Alliance, http://www.honeynet.org/. Mar. 2005
최효식, '꿀단지 네트워크, 허니넷.' 마이크로소프트웨어. pp. 209-215. 2005년 6월
A. Ramachandran and N. Feamster, 'Understanding the Network-Level Behavior of Spammers,' Proceedings of 2006 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communications, pp. 291-302, Aug. 2006
S.K. Noh, J.H. Oh, J.S. Lee, B.N. Noh, and H.C. Jeong, 'Detecting P2P Botnets using a Multi-Phased Flow Model' Proceedings of 3rd International Conference on Digital Society 2009 (ICDS'09), pp. 247-253, Feb. 2009
P. Porras, H. Saidi, and V. Yegneswaran, 'A Multi-perspective Analysis of the Storm (Peacomm) Worm,' Computer Science Laboratory, SRI International. Oct. 2007
S. Stover, D. Dittrich, J. Hernandez, and S. Dietrich, 'Analysis of the Storm and Nugache Trojans: P2P is here,' In USENIX:LOGIN, vol. 32, no. 6, pp. 18-27, Dec. 2007
※ AI-Helper는 부적절한 답변을 할 수 있습니다.