Preventing Botnet Damage Technique and It's Effect using Bot DNS Sinkhole

DNS 싱크홀 적용을 통한 악성봇 피해방지 기법 및 효과

  • 김영백 (한국정보보호진흥원 해킹대응팀) ;
  • 이동련 (한국정보보호진흥원 해킹대응팀) ;
  • 최중섭 (한국정보보호진흥원 해킹대응팀) ;
  • 염홍열 (순천향대학교 정보보호학과)
  • Published : 2009.01.15

Abstract

Bot is a kind of worm/virus that is remotely controlled by a herder. Bot can be used to launch distributed denial-of-service(DDoS) attacks or send spam e-mails etc. Launching cyber attacks using malicious Bots is motivated by increased monetary gain which is not the objective of worm/virus. However, it is very difficult for infected user to detect this infection of Botnet which becomes more serious problems. This is why botnet is a dangerous, malicious program. The Bot DNS Sinkhole is a domestic bot mitigation scheme which will be proved in this paper as one of an efficient ways to prevent malicious activities caused by bots and command/control servers. In this paper, we analysis botnet activities over more than one-year period, including Bot's lifetime, Bot command/control server's characterizing. And we analysis more efficient ways to prevent botnet activities. We have showed that DNS sinkhole scheme is one of the most effective Bot mitigation schemes.

악성봇은 해커에 의해 원격 조정되어 명령에 의해 스팸메일 발송, DDoS 공격 등의 악성행위를 수행하는 웜/바이러스 이다. 악성봇은 이전의 웜/바이러스와 달리 금전적인 이득을 목적으로 하는 경우가 많은 반면 감염사실을 피해자가 인지하기 쉽지 않아 피해가 심각한 실정이다. 이에 대한 대응 방안으로는 해커의 명령을 전달하는 명령/제어 서버의 차단이 필요하다. 이 중 악성봇 DNS 싱크홀 기법이 국내에서 적용하고 있는 봇 대응 시스템으로, 본 논문의 목적은 이 방식의 효과성을 제시하는데 있다. 본 논문에서는 1년 이상의 장기간 동안 악성봇 및 Botnet 을 관찰하여 Bot 감염 PC의 감염 지속시간, Bot 명령/제어 서버의 특성 등을 파악하고, 악성봇의 피해를 방지하기 위한 효과적인 방안인 악성봇 DNS 싱크흘의 적용 결과를 분석한다. 이를 위하여 웜샘플 분석 툴을 이용하여 자동 분석체계를 구축하였고, 이를 시스템화 하였다. 또한, 분석을 통해 현재 국내에서 적용되고 있는 봇 대응 시스템의 타당성을 검증하였다.

Keywords

References

  1. 한국정보보호진흥원, "2007 정보시스템 $해킹{\cdot}바이러스$ 현황 및 대응", 한국정보보호진흥원, pp. 41-73, 2007
  2. P. Baecher, M. Koeetter, T. Holz, M. Dornseif, and F. C. Freiling, “The nepenthes platform: An efficient approach to collect malware,” In Pro-ceedings of 9th Symposium on Recent Advanses in Intrusion Detection(RAID’06), pages 165-184, 2006
  3. F. Freiling, T. Holz, and G.Wicherski, “Botnet Tracking: Exploring a Root-Cause Methodology to Prevent Distributed Denial-of-Service Attacks,” In Proceedings of 30th European Symposium On Re-search In Computer Security(ESORICS05). Sp-ringer, July 2005
  4. NORMAN Sandbox Information Center, Internet: http://www.norman.com/microsites/nsic/
  5. SYMANTEC, “Symantec Internet Security Threat Report,” SYMANTEC, Sep. 2007
  6. Jianwei Zhuge, Thorsten Holz, Xinhui Han, Jinpeng Guo, Wei Zou, “Characterizing the IRC-based Bot-net Phenomenon,” Reihe Informatik. TR-2007-010, December 3, 2007
  7. The Honeynet Project. “Know Your Enemy: Trac-king Botnets,” March 2005. Internet: http://www.honeynet,org/papers/bots/
  8. Cyber Clean Center, Dec 2007, Internet: https://www.ccc.go.jp/
  9. M. A. Rajab, J. Zarfoss, F. Monrose, and A. Terzis. "My botnet is bigger than yours(maybe, better than yours)," In Proceedings of HotBots'07, 2007