truefeel Ä«Æä °ü¸®ÀÚ
°¡ÀÔ: 2003³â 7¿ù 24ÀÏ ¿Ã¸° ±Û: 1277 À§Ä¡: ´ëÇѹα¹
|
¿Ã·ÁÁü: 2008.2.21 ¸ñ, 12:26 pm ÁÖÁ¦: À¥±â¹ÝÀÇ DDoS botnet, BlackEnergy |
|
|
IRC±â¹ÝÀÇ botnetÀÌ ¾Æ´Ñ À¥±â¹ÝÀÇ botnetÀ¸·Î, ·¯½Ã¾ÆÀÇ ÇØÄ¿°¡ ¸¸µé¾ú´Ù. C&C(Command & Control) ¼¹ö(¸í·ÉÀ» ³»¸®°í, Á¶Á¾ÇÏ´Â ¼¹ö. BlackEnergy¿¡¼´Â À¥ ÆäÀÌÁö°¡ ÀÌ¿¡ ÇØ´ç)´Â ·¯½Ã¾Æ³ª ¸»·¹ÀÌÁö¾Æ¿¡ À§Ä¡¿¡ ÀÖÀ¸¸ç, ÁÖ·Î ·¯½Ã¾Æ¸¦ °ø°Ý ´ë»óÀ¸·Î ÇÑ´Ù.
BlackEnergy´Â Å©°Ô 2°¡Áö·Î ±¸¼ºµÇ¾î ÀÖ´Ù.
1. À¥±â¹ÝÀÇ C&C¸¦ Á¦°øÇÑ´Ù. (php+MySQL)
2. DDoS°ø°Ý botÀ» »ý¼ºÇÏ´Â Åø(builder.exe)À» Á¦°øÇÑ´Ù.
builder.exe ÅøÀ» ÀÌ¿ëÇÏ¿© À¥±â¹Ý bot°ü¸® ¼¹ö·Î Á¢¼ÓÇÏ´Â ¹ÙÀ̳ʸ®ÆÄÀÏÀ» »ý¼ºÇÒ ¼ö ÀÖ°Ô µÈ´Ù.
[ À̹ÌÁö Ãâó : ±Û ³¡¿¡ ¼Ò°³ÇÑ URL ]
bot ¹ÙÀ̳ʸ®´Â ÁöÁ¤ÇÑ C&C¼¹ö·Î Á¢¼ÓÇÏ°Ô µÈ´Ù. ±×¸®°í, bot°ú Á¦¾î¼¹ö°£ÀÇ ¸í·ÉÀº À¥À» ÅëÇؼ ÀÌ·ïÁö°Ô µÇ¸ç, ±¸Á¶´Â ´ë·« ÀÌ·¸´Ù.
1. botÀº C&C ¼¹öÀÇÀÇ URL(¿¹. http://À¥¼¹ö/°æ·Î/stat.php )À» üũÇÏ°Ô µÈ´Ù. ÀÌ ¶§ id, build_id °ªÀ» POST¹æ½ÄÀ¸·Î ³Ñ±ä´Ù.
2. ¼¹ö¿¡¼´Â ¸í·É µîÀÇ »óÅ °ªÀ» BASE64 ÀÎÄÚµùµÈ °ªÀ¸·Î ¸®ÅÏÀ» ÇÑ´Ù. ±× °ª¿¡ µû¶ó¼ botÀº ¸í·ÉÀ» ¼öÇàÇÑ´Ù.
´Ù¾çÇÑ °ø°Ý À¯ÇüÀÌ Àִµ¥, ICMP flood, TCP SYN flood, UDP flood, DNS flood, http ¿äû µîÀÌ ÀÖ´Ù.
'flood http foobar.com a.html' ¸í·ÉÀ» ³»¸°´Ù¸é foobar.com/a.htmlÀ» °è¼Ó È£ÃâÇÏ°Ô µÇ¸ç, 'flood syn foobar.com 80'Àº TCP SYN flood¸¦ ¹ß»ýÇÑ´Ù.
PC¿¡ ¼³Ä¡µÈ bot¿¡ ´ëÇÑ ÀÛ³â 10¿ù ¹é½Å °Ë»ç °á°ú¸¦ º¸´Ï V3, clamAV, AVG, McAfee µîÀº ÀÌ ¹ÙÀ̳ʸ®¸¦ ¸ø ã¾Æ³»°í, F-Secure, F-Prot, Kaspersky´Â ã¾Æ³Â´Ù.
ÀÌ botnet¿¡ ´ëÇØ º¸´Ù ÀÚ¼¼ÇÑ Á¤º¸´Â 'BlackEnergy DDoS Bot Web Based C&C'¿¡¼ º¼ ¼ö ÀÖ´Ù. |
|