'Bot'에 해당되는 글 2건

  1. 2008.02.21 웹기반의 DDoS botnet, BlackEnergy (2)
  2. 2007.03.27 전세계 봇 감염 대수 = 투사부일체 관객수 (1)
IT이야기2008. 2. 21. 13:04

IRC기반의 botnet이 아닌 웹기반의 botnet으로, 러시아의 해커가 만들었다. C&C(Command & Control) 서버(명령을 내리고, 조종하는 서버. BlackEnergy에서는 웹 페이지가 이에 해당)는 러시아나 말레이지아에 위치에 있으며, 주로 러시아를 공격 대상으로 한다.

BlackEnergy는 크게 2가지로 구성되어 있다.

1. 웹기반의 C&C를 제공한다. (php+MySQL)
2. DDoS공격 bot을 생성하는 툴(builder.exe)을 제공한다.
   builder.exe 툴을 이용하여 웹기반 bot관리 서버로 접속하는 바이너리파일을 생성할 수 있게 된다.

BlackEnergy screenshot
[ 이미지 출처 : 글 끝에 소개한 URL ]

bot 바이너리는 지정한 C&C서버로 접속하게 된다. 그리고, bot과 제어서버간의 명령은 웹을 통해서 이뤄지게 되며, 구조는 대략 이렇다.

1. bot은 C&C 서버의의 URL(예. http://웹서버/경로/stat.php )을 체크하게 된다. 이 때 id, build_id 값을 POST방식으로 넘긴다.
2. 서버에서는 명령 등의 상태 값을 BASE64 인코딩된 값으로 리턴을 한다. 그 값에 따라서 bot은 명령을 수행한다.
   다양한 공격 유형이 있는데, ICMP flood, TCP SYN flood, UDP flood, DNS flood, http 요청 등이 있다.
   'flood http foobar.com a.html' 명령을 내린다면 foobar.com/a.html을 계속 호출하게 되며, 'flood syn foobar.com 80'은 TCP SYN flood를 발생한다.

PC에 설치된 bot에 대한 작년 10월 백신 검사 결과를 보니 V3, clamAV, AVG, McAfee 등은 이 바이너리를 못 찾아내고, F-Secure, F-Prot, Kaspersky는 찾아냈다.

보다 자세한 정보는 'BlackEnergy DDoS Bot Web Based C&C'에서 볼 수 있다.

Posted by 좋은진호

댓글을 달아 주세요

  1. 역시 러시아사람들도 참 대단해요~ 이런 방식을 흑...

    2008.02.23 20:06 신고 [ ADDR : EDIT/ DEL : REPLY ]

IT이야기2007. 3. 27. 23:27
620만명의 '쉬리', 610만명의 관객에게 상춘고를 접수하고 강남을 포기하게 만들었던 '투사부일체'.
바로 이 투사부일체의 관객수와 비슷한 604만대의 머신이 봇에 감염(2006년 상반기보다 29% 증가)됐다고 한다.
시맨텍이 2006년 7월부터 12월까지 180여개국 이상에 설치한 4만개의 센서에서 수집한 정보를 토대로 하여 작성한 Symantec Internet Security Threat Report(ISTR, 인터넷 보안 위협 보고서)에 따른 것이다.

http://www.symantec.com/about/news/release/article.jsp?prid=20070319_01
http://j2k.naver.com/j2k_frame.php/korean/www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20070327_01

2006년 하반기에는 상반기보다 11% 증가한 1일 평균 63,912대의 봇 감염 머신(Zoombie, 좀비)을 발견했다. 봇에 공격을 명령하는 서버 대수는 4,746대로 2006년 상반기 부터 25% 감소하고 있다. 봇 감염 대수는 증가했으나 명령하는 서버 대수가 줄었다는 것은 통합과 대규모화가 진행됨을 의미한다. 사람 세계에서 일어나고 있는 대통합의 형태가 봇에서도 이뤄지고 있는 것이다.

작년부터 국내에 숨겨진 이슈(?)인 DDoS공격의 증가도 이런 봇의 일괄적인 공격이 한 몫하고 있는 것으로 보인다. '투사부일체'의 조직같은 봇이 이제 인터넷은 그만 접수했으면 한다. ^^

사용자 삽입 이미지
[원본 이미지보기]

아래 도표에서는 뒤에서 두번째 있는 컬럼(중국이 1위인 컬럼)이 봇의 순위이다.
봇 감염 대수는 중국이 26%로 1위를 했고, 우리 나라는 11위다. 명령 서버의 40%는 미국에 존재한다고 한다.

사용자 삽입 이미지
[원본이미지 보기]

덧붙여 피싱사이트 순위까지 확인해보자.

사용자 삽입 이미지
[원본이미지 보기]

1위 미국 46%
2위 독일 11%
3위 영국 35
4위 프랑스 3%
5위 일본 3% (아시아에서 가장 순위가 높음)
6위 대만 3%
7위 캐나다 2%
8위 중국 2%
9위 한국 2%
10위 네덜란드 2%


Posted by 좋은진호

댓글을 달아 주세요

  1. 정말 미치지 말입니다...ㅠ.ㅠ

    2007.03.28 00:27 [ ADDR : EDIT/ DEL : REPLY ]