Aurora 악성코드 분석 (HBGary)

메모리 포렌식으로 유명한 HBGary에서 공개한 Aurora 악성코드 분석 자료를 검토해보았습니다.(원문 http://www.hbgary.com Download PDF )

특이한 것은 작년 침해사고에서 여러차례 발견되었던 Dynamic DNS 주소들이 보인다는 점이네요.

*.homeunix.com

*.homelinux.com

*.ourhobby.com

*.3322.org

*.2288.org

*.8866.org

*.ath.cx

*.33iqst.com

*.dyndns.org

*.linode.com

*.ftpaccess.cc

*.filoups.info

*.blogsite.org

급한대로 몇가지 대응 방법이 있을 것 같습니다.

- Firewall http inspection 기능으로 outbound 비정상 트래픽 차단(80, 443)

- F/W, IPS, UTM에서 url 차단

- DNS sinkhole 처리

- SenderDB 기반의 Content Filtering 솔루션 도입(Cisco IronPort, ASA Botnet 차단기능)