Hackarmy 백도어, IRC 봇넷에서 테스트
2010/01/19 14:52
백도어 분석하면서 IRC 서버 세팅해서 테스트해봤습니다. 아직 사용법이 익숙하지 않아서 기본적인 명령어 밖에는 할 줄 모르겠네요.
블랙햇은 IRC 채널에서 대기하고 있습니다. 혹은 원하는 시간에 접속을 하면 감염된 좀비들이 기다리고 있겠죠. 테스트라서 좀비는 하나 뿐이었습니다.
"!morris tounge" 는 "내가 네 주인이다."라고 알리는 주문입니다. 처음에 접속해서 이 주문을 안 외치면 뇌가 없는 좀비들은 알아쳐먹지를 않더군요.
"!info" 라고 말하면, 좀비들은 자기가 있는 농장이 어떤 곳인지를 친절하게 알려줍니다. 좀비 주제에 말은 할 줄 압니다.
"!webfind64 ~ ~" 는 블랙햇이 가리킨 물건을 챙겨가라는 지시입니다. 위치를 정확하게 알려주지 않으면 역시 못 알아쳐먹습니다.
"!execute" 와 "!delete" 는 물건 한 번 써 보고, 먹어서 없애라는 지시입니다. 멋있는 것은, 물건을 쓰더라도 농장 주인은 그 사실을 모른다는 거죠. 하지만 Task Manager 같은 개 몇 마리 풀려 있으면 금방 들킵니다.
마지막으로, "!?quit" 는 볼 일 끝났으니 꺼지라는 지시입니다. 그러면 좀비는 땅 속으로 기어들어 갑니다. 그리고 나중에 농장이 새로 열리면 다시 기어 나오죠. 농장 서랍 속(HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun)에 열쇠(Winsock32driver)가 있거든요.
참고문헌
리버싱: 리버스 엔지니어링 비밀을 파헤치다, Eldad Eilam, 윤근용, 2009, 에이콘IRC 서버 세팅 :: http://www.codeordie.org/wiki/?IrcServer
"0x02 Windows RCE" 분류의 다른 글
| DumpFromOEP.py for Immunity Debugger | 2011/10/22 |
| From AppInit_DLLs To Injection | 2011/09/28 |
| Windows Debugging Intrenals: A to Z | 2011/08/28 |
| IsDebuggerPresent 그리고 패치 | 2011/07/04 |
| API Redirect on Themida | 2011/02/27 |
Trackback Address:http://hisjournal.net/blog/trackback/308