1

P2P BOT 집 비스 거 공격

, 진 욱, 지 , 심 철, 찬

단 드빈

Concensrational Denial Of Service in P2P Bot

Kwon Ohhyun, Kim Jinwook, Park Jiyoung, Sim Hongcheol, Jung Chanyoung

DANKOOK University Security Club, RED BeanZ

< 목차 >0.

1. DoS, DDoS 공격

1-1. DoS

1-1-① DoS 태

1-1-② DoS

1-1-③ DoS 킹 과 차

1-1-④ DoS 계

1-2. DDoS ?

1-1-① DoS 차

1-2-② Bot Network

1-2-③ DDoS 사

1-2-④ DDoS 계

2. CDoS

2-1. CDoS ?

2-2. CDoS 개 경

2-3. CDoS 개 과 에 시 착

2-4. CDoS 개

3. CDoS공격

3-1. CDoS 공격가능 , 상

3-2. CDoS 공격 상

3-3. 비 킷 상 내

4. 사 에 미 는 과

4-1. CDoS

4-2. P2P BOT 사 에 미 는

5. 참고 료

2

0.

근 사 심각 타격 7.7DDOS공격 DDOS공격 변

시시각각 변 고 는 킹 공격에 사 수 겠다.

에 우리는 새 운 DDOS공격 개 고 여 CDOS 개 다.

CDOS공격 다수 비pc victim 공격 닌 수 비pc가

victim 에게 다수 트 가능 다.

DOS공격시 비PC 수는 DDOS에 비 30%수 지 낮 수 다.

다 는 공격 달 체계 변 다.

그림과 같 DDOS공격 공격 달 직 달 또는 미리 그

스 러 다 CDOS공격 비PC간 통신 통 스 링 그

여 공격 지시 게 다. 에 공격 역시 비pc가 어 다 비pc

통신 게 다. 비pc는 상 공격 에 수시 가짜 공격 (쓰 값)

통신 여 어에 어 움 주는 편 여 킷 늘어 공격 신원보

공격 드 보 에 주게 다.

공격 시)

0kf1x11wefj( 쉬값) destinaton url:http://www.naver.com/1111.zip date:2009/11/30

시값 공격 가 사 에 미리 시키값 공격 에 생 시 드만

상 식 여 쓰 값 타 공격통 다.

victim 에 공격 victim 에 재 는 다운 URL 통 건/ 복

연결 여 당 마비시키는 택 다. / / 에는

사 들 상 연결 가능 다운 드 URL 포 고 어 웹상에 시도가

가능 다.

체 공격 그 과 비pc 킷 본 에 술 다.

그림 2 새 상 CDOS공격 그림 1 DDOS 공격

3

1. DoS, DDoS 공격

1-1. < DoS >

● 비스 거 공격( 어: Denial of Service attack, DoS) 시스 공격

당 시스 원 게 여 원 도 도 사 지 못 게 는 공격

다. 특 에게 수많 시도 만들어 다 가 상 비스

지 못 게 거나, TCP 연결 닥내는 등 공격 에 포 다.

수단, 동 , 다 수 지만, 보통 사 트 또는 비스 능 시

또는 또는 단 다. 통상 DoS는 사 트,

, 신 드 지 게 트웨 , 또는 심지어 루트 상 루어진다.

1-1-① < DoS 태 >

1-1-② < DoS >

(1) SYN Flood 공격

본 클 언트 사 에 통신 3단계 루어 다.

① 클 언트는 킷크 포 보 에 여 연결 시 다.

② 는 클 언트가 보낸 보 답 다.

③ 클 언트는 수신 보에 동 고 승 다.

단 에 수천 개 TCP (SYN) 청 시지 보낸다. 킷내 스

IP 주 거나, 상에 사 지 는 IP 주 값 변 다. 그러 는

새 운 맺 실 는 재 지 거나 동 지 는 IP 주 값

SYN/ACK 답 다.

, 는 SYN/ACK 답 보낸 클 언트 ACK가 지 다리게 는

, 는 ACK 시지 지 못 게 다. 게 는 ACK 지

같 원 계 료 지 고 열어 게 는 , 계 누 경우 결 시스 다운

거나 비스 단 는 사태가 생 다.

4

(2) Smurfing 공격

Smurfing 공격 그 과

여 가 운 DoS 에 나

, IP ICMP 특징 다. 브

드 스트 는 트워크 주 나

트워크 브 드 스트 주 에 직 보내

질 수 다. 만 192.168.0.0/24

가진 트워크가 다 , 트워크 ID는

192.168.0.0 것 고 브 드 스트 주

는 192.168.0.255가 것 다. 브 드

스트는 지 내에

각각 주 없 엇 동

는지 진단 사 다.

Smurfing 공격 직 브 드 스트 가지 공격 , 폭 트워크

다. 공격 는 폭 트워크 브 드 스트 주 공격 가

는 것처럼 킷들 원본 주 여 ICMP ECHO 킷 고, ICMP ECHO

킷 수신 폭 트워크 내 든 시스 공격 에 답 게 다. 만 공

격 가 브 드 스트 에 답 100개 시스 가진 폭 트워크에 나 ICMP

킷 보내게 , 공격 는 100만큼 과 DoS 공격 수 다.

Smurfing 공격 어 는 직 브 드 스트 경계 우 에 사 수

없게 만들어 다.

1-1-③ < DoS 킹 과 차 >

지 지 킹 보 시스 " ", " 결 ", "가 " 에 ‘ ’과 ‘ 결 ’

는 비 개 보 도 , 보 변 창 같 었다.

에 ‘가 ’ 역 사 들 식 었 만큼 킹 도 달 지 못 역 었다. 그

수많 사 트들 동시 수가 늘어나 가 에도

고 비스 공 업체들 같 킹 나 러스처럼 심각 게 생각 지

는 경우가 많 다. 그러나 ‘가 ’ 실 곧 생산 실 연결 다. 특

료 비스 공 는 상 에 가 에 가 생 다 수 직

게 다. , 지 지 시간 생산 실 미 고, 사 들 당

사 트에 다시 생각 게 것 다. 결 게 가 에 식 지

, 식과는 다 가 DoS 공격 등 게 다. 또 원리도 단순

당 에 는 시스 사 능 과 는 트 생시

키는 간단 식 에, ‘가 ’ 킹 KEY가 었다.

1-1-④ < DoS 계 >

DoS 공격 가지고 공격 , 1:1 게 다. 그 에

계가 다. 공격 지만 개 PC 는 계가 마 다. 또 간계

재 지 공격 가 비 쉽게 당 염 가 다.

●● 클 언트 통신 클 언트 통신

●● Smurfing 도 Smurfing 도

5

1-2 < DDoS ? >

' 산 비스 거 ' 또는 ' 산 비스 거 공격' 고도 다. 여러 공격 산

여 동시에 동 게 특 사 트 공격 는 킹 식 나 다. 비스

공격 도 들 여러 컴퓨 에 심어 고 공격 사 트 컴퓨 시스

처리 수 없 도 엄청난 량 킷 동시에 시킴 트워크 능

시키거나 시스 마비시키는 식 다.

공격 드나 등 통 여 사 사 PC 감염시

' 비PC' 만든 다 C&C( 어) 어 통 여 특 시간 에 수 다.

1-2-① < DoS 차 >

Dos DDoS 공격 당 트

과시 트워크 시스 마비시키는 에 는

공통 나 간 계 고 내 공

격 실 다는 에 차 보 다. 또

ZOMBIE 만들 드나 스크립트

포 업 가 다. 그러나 DDoS

는 DoS보다 어 우 , BOT 사

여 당 트 과 보다 쉽게

수 고, 감염 PC는 공격 마

원격 가능 다.

1-2-② < BOT NETWORK >

‘ ’ 원격 어 그 미 다. 커들 원격 특 시스 ‘ ’

다. 보 가 시스 경우 감염 가능 매우 다. 단 ‘ ’

시스 에 몰 상주 , 커 에 움직 게 다. 또 보 빼내갈 수도

다. ‘ ’ 신 숨 는 닉 능과 신 그 료시키고 업 트도

차단 는 능 가지고 다. 에 감시가 실시간 게 루어 다.

2005 상 동 , 루 평균 10,352개 견 다. 러 트워크 격

가가 근 DoS 공격 사 가 주 것 다. 공격 동 는

가능 다. 또 감염 어 트워크 여 료 비스 는 사

견 도 다.

1-2-③ < DDoS 사 >

● 7.7사태

2009 7월 과 미 주 과 포 사 트, 사 트 등에 가 진 공격

7.7 또는 사태 고 고 다. 7월 4 미 사 트들에 여 1차 공격 수

었고, 에 는 7월 7 3차 공격 수 었다. 공격 상에는 미 과

청 비 여 주 언 사 주 당, 주 포 사 트가 포 었는

●● DoS DDoS 차DoS DDoS 차

6

, C&C 공격 달 는 것 니 감염시 생 는 공격

동공격 수 는 식 었다. 감염 수만 컴퓨 가 비PC 동

내 주 과 포 사 트에 다.

● 거 사 트

2007 10월 12월 지 수차 에 걸쳐 내 게 거 사 트가

DDoS공격 여 마비 는 사태가 어 었다. 비PC 여 트

과 는 가 공격 었다. 첫 공격 지난 10월 에 어났다. 공격

근 2주간 사 트 원 지 어 움 겪었다. 후 도 수차 공

격 었고, 그 마다 사 트는 마비 는 상 생 다. 비스 사

는 1400억원 도 고 다.

1-2-④ < DDoS 계 >

DDoS는 여러 단계 거쳐 가 에, 마스 비 PC만 복 ,

공격 상 수 수 없게 다. 또 공격 는 여 보통

달 다. 공격 수 트워크 는 시간도 고 다. 또 스

러 는 식에 어 는 드 후에는 ZOMBIE 어 수 없다.

근에는 ‘ ’ 개 PC에 료 는 도 많 나 고 고, 벽 나 신 여

에 는 경우가 많 에, BOT NETWORK 리 어 움 다.

2. CDoS

2-1. <CDoS ?>

CDOS공격 다수 비pc victim 공격 닌 수 비pc가

victim 에게 다수 트 가능 다.

DOS공격시 비PC 수는 DDOS에 비 30%수 지 낮 수 다.

CDOS공격 비PC간 통신 통 스 링 그 여 공격 지시 게

다. victim 에 공격 victim 에 재 는 다운 URL 통 건/

복 연결 여 당 마비시키는 택 다. / / 에는

사 들 상 연결 가능 다운 드 URL 포 고 어 웹상에

시도가 가능 다.

2-2. < CDoS 개 경 >

근 사 심각 타격 7.7 DDOS공격 같 비 간단 원리에

심각 타격 수 는 공격 후에도 가능 는 공격 다.

에 DDOS에 어도 차 고 는 상 지만 다 지는 공격 에

어에는 계가 다고 생각 다.

우리가 미리 다 지는 에 상 보고 그 연 보 엿다.

- DDOS 공격 맹 -

7

● DDOS는 비PC가 victim에게 상 트 도 여 공격 는 식

다수 비PC 지는 공격 다.

그러나 에 상 CDOS공격

●● 새 상 CDOS공격 새 상 CDOS공격

그림과 같 Victim 에 여러개 syn/ack 비PC 여

시키는 공격 택 다.

또 여러 비pc에 VICTIM 킷 보내는 신

VICTIM 에 비PC 여러개 킷 보내는 식 다.

어느 도는 DOS공격과 비슷 상 보 도 지만 에 내

보게 연 차 느낄 수 것 다.

마 DDOS공격에 비 30~50 도 수 비PC 여 똑같 과 낼

수 는 공격 고 겠다.

공격루트 또 누 에게나 공개 지 여 공격 고

source ip 사실상 어는 가능 것 보고 다.

● 째 공격통 다.

7.7 에 사 었 변 DDOS 공격 스 링 여 미리 삽

공격지/시간에만 공격 가능 도 그 어 어 공격 통 가 가능 다.

2 DDOS공격과 새 운 CDOS공격 공격 능비

DDOS공격 새 운 CDOS공격

공격 킷 비PC→VICTIM VICTIM → 비PC

공격 킷

( 비PC 1 : VICTIM 1)

1 connection(공격 킷

상 비 1)

30~50 connection(공격 킷

상 비 30~50)

비pc 상 수 100% 30%

8

그 공격 신변보 가 었지만 가지고 는 공격 는 매우

것 사실 다. 에 우리는 공격통 공격 가 공격

신변보 지 가능 생각 보 다.

여 심 비PC끼리 사 통 다. 비PC끼리 주 사 통 통 여

공격지 결 고 시간 결 시에는 변경 변 비 등 동

가능 다.

여 사실 비PC끼리 사 통 여 공격 진 지는 사실상 찾 가

가능 공격 또 비PC 사 게 어 공격에 통 득 수 게

다.

●● DDOS 스 링 과 CDOS 스 링 비DDOS 스 링 과 CDOS 스 링 비

DDOS 공격 attacker->zombi pc->victim 었다 CDOS공격

(zombi pc(공격 가 보 비 PC)->zombi pc->zombi pc->...->zombi pc->zombi

pc(공격 가 보 비PC)...->zombi pc-> victim) 순 다.

CDOS공격에 는 ATTACKER 신도 비PC가 어 다 비PC 똑같 동 게

다.

CDOS공격 공격 가 보 비PC 신변보 비PC간 지 는 에

9

지 게 다. 또 zombiPC끼리 쓰 값 지 통신 통 실 공격

드 찾 거 가능에 가 다.

.

●● CDOS 공격 달 체계CDOS 공격 달 체계

그림에 볼수 듯 러 공격 는 게 공격통 가지게 다.

2-3. < 개 과 에 시 착 >

victim url 다운 드 공격시 비PC 동시 지 VIctim과 비PC간 연결

시간 어 다. 그러 첫 째 우리는 웹상에 다운 드

시 도우 시 러리 에 다는 에 주 다. 시 러리 당

●●● 각 DOS 공격간 공격 달에 비각 DOS 공격간 공격 달에 비각 DOS 공격간 공격 달에 비

DDOS 7.7 DDOS CDOS

공격

달체계직 달 식

사

스 링 삽비PC간 공격 달

공격 달

시공격시에 달 사 에 스 링 공격시에 스 링 달

ATTACKR/공격

험

비PC에게

직 공격

달

역

스 링 여

공격과

ATTACKER

연 미

ATTACKER가 직 공격

스 링 달 지만

ATTACKER 역시 비PC 통

달 별 어 움

또 공격 에도 지

쓰 값 통신 통 상

공격 찾 가 듬

10

지 지워주는 생각 보 다. 그 게 다운 드 계

낮춰 지 연결 가능 도 고 다.

다 째 는 당 다운 드 스 suspend 드 다. 당 다

운 스 지 suspend 드 시 주 그만큼 victim 연결

시간 늘릴 수 어 동시 스 개수 늘릴 수 거 생각 다. 그러나 우리

연 다운 도 감 다. 그 다운 드 여 당

다운 드 url 동 /지 실 시키게 비PC 리 스 여 동

다운 도가 낮 동시 task 지시킬수 다.

다 공격 달 생각 보 다. 공격 달 마스 PC나 공격 pc

에 상 식 내 지는 공격 에 는 공격 신 우 는 상 었다.

그 첫 째 우리는 비PC끼리 공격 달 체계 고 생각

다. 비 PC에 감염 게 당pc는 시 주변 비pc에게 미없는 킷

시 다. 런식 비pc는 주변 비pc 지 킷

공격 달 비 마 다. 여 심 공격 역시 비pc 보 다는 생

각 다. 그 게 공격 비pc 역시 다 비pc 마찬가지 지 비pc간

통신 루어지게 다. 에 공격 가 지 공격 가 당 공격 에

destination url 스 링 시간 미리 킷 게 다. 비pc는 비

에 포 그 url연 공격 그 당 킷 수신 게 당 킷

미리 공격 가 식 킷 는 것 쉬값 통 후에 당

ip 스 링 게 다. 그러나 여 비pc간 식

다. 비pc간 식 는 비pc ip주 나 mac address에 리스트나 특

역 ip만 비pc만 규 는 게 어 에 당 비pc

색 쉽게 어 공격 강도가 질 수 에 없다. 그럼 생각 고

IRC채 다. 단 비pc는 감염 시 IRC채 채

값(1~1000 내/ 는 10개내 ) 여 생 게 다. 그 후 채 채 만듬

과 동시에 감염 시 IRC채 채 값(1~1000 내/ 는 10개내 )에 탐색 시

다. 게 여 비pc끼리 연결 다. 특 비pc가 생 irc채 채

에 다 비pc가 게 간 통신 루어지게 다. 런식 irc채 채

에는 수개 비pc가 연결 어 당 비pc들끼리는 채 생 비pc 쉬값

과 공격지 ip/url 과 date 스 슐링 게 다.

(ex. 0kf1x11wefj( 쉬값)

destinaton url:http://www.naver.com/1111.zip date:2009/11/30(공격지 url 스

링 트))

그러나 여 또 가지 쉬값 다. ex 시지 비 pc는 우

쉬값 여 킷값에 쉬값 지 다. 그 hash키에

decrtptinon 값 url 스 링 date 게 고 그 지 시에

는 당 url 스 링 리게 다. 공격 비pc만 쉬키값

encrytion 게 고 나 지 비pc들 엉뚱 킷값 여 encrytion 게

다. 그 게 공격 비pc만 공격통 가지게 다. 또 공격 에 역

척에 도 에 말 어가 가능 게 다. 공격 공격 내 지

11

에 미 비pc들 IRC채 채 여 지 쓰 값들 게

다. 그러 에 공격 가 공격 내리게 진짜 공격 값 찾는것 가능

다. 또 든 비pc가 irc채 채 개 여 간 통신 가능 게 어

공격 상 식 니 루 식 비pc간 통신 지게 특 시

간후에는 복 공격 달 게 공격 찾는 것 욱 어 게

다.

마지막 다운 URL공격 당 통신 립 만 공격 루

어지게 는 그럴러 ip spoofing 가능 게 다. 그 게 비pc가

게 다. 또 가지는 다운 드 스 multitaksing ip address 변경 가

능 게 어 어 는 에 는 복 ip에 복 업 청 deny 게 어

가 쉬워진다.

2-4. < 개 >

비pc는 victim url에 다운 multi tasking 공격 감 게 다. 개 비

pc당 30~50 도 multi tasking 통 victim busy 게 만들게 다. 게

공격 는 게 공격통 가지게 다.

●● 시 착 도식시 착 도식

동시 스

지

1. 도우 시 러리

지 삭

2. 당 다운 드 스

suspend mode 수시

연스러운 다운 도

감 (연 가 는 다

운 스 첩

비PC 리 스 감

다운 스 도가

다.

공격 달

1. 비PC IP 여

비PC간 통신 지

2. 비PC MAC ADDRESS

여 비 PC간 통신

지

IRC채 통신

( 비PC가 IRC채 개 /참

여 통 비PC간 공격

달)

공격통 누 나 공격통 득 가능

공격 에 시값

어 ATTACKER에 공격

지 단

12

3. CDoS공격

< 공격 단계 술 >

●●● 공격 순 도공격 순 도공격 순 도

_____________________________________________________________________________________________

(참 )

1)공격 그 /IRC채 리/공격 그 공격싸 트 다운 드url 루 스크립트 IRC채

채 생 PERL언어 (채 생 )

IRC채 채 PEAL언어 (채 )

2)공격단계 1,2,3

①victim 공개 다운 드 URL 미리 다운 드 루 그 여 당 URL

에 복 다운 드 시도 다. 에 다운 드 스가 첩 수 게끔 빠 게 연결

여 첩 스가 30~50개 지 다. 비PC 능상 30~50개 다운 드 스가 걸리

게 연스 다운 도가 느 동시 스 개수 지가 진다.

② 수 상 비PC VICtim간 연결 립 비PC 과 막 VICTim과

다.

③ 당 VICTIM 는 과도 연결 상 동 어 게 다.

13

_________________________________________________________________

3-1. <CDoS공격 가능 , 상>

● 든 공 . . 업, 등 사 는 보 VICTIM

● 다운 드 URL 보 든

( 사시 에 많 업들 사 료 다운 드 링크 다.

● 게 사 트 게 다운 드

● MS 다운 드 등

다운 드 URL CDOS 공격

삼 다운 드

http://www.samsung.com/sec/support/download/supportDown

Main.do

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

LG 다운 드 http://www.lgservice.co.kr/Sea

rchSddr.laf

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

MS 다운 드

http://www.microsoft.com/dow

nloads/search.aspx?displaylang

=ko

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

마 http://www.tomatobank.co.kr/

04_customer/data/09.pdf

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

신

http://img.shinhan.com/hpe/data/upload/comadm/bizbbs/03/091111_230011502_s

eol.pdf

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

단 식 /공지

http://www.dankook.ac.kr/web/kor/d1_2?p_p_id=BBS_1_INSTANCE_Um1p&p_p_lifecycle=1&p_p_state=exclusive&p_p_mode=view&p_p_col_id=column-1&p_p_col_pos=1&p_p_col_count=2&_BBS_1_INSTANCE_Um1p_struts_action=%2Fext%2Fnotice%2Fgeta&_BBS_1_INSTANCE_Um1p_messageId=893238&_BBS_1_INSTANCE_Um1p_attachment=%EC%A1%B0%EC%A7%81%EC%9E%AC%EC%83%9D%EA%B3%B5%ED%95%99%EC%97%B0%EA%B5%AC%EC%86%8C+%ED%

95%99%ED%9A%8C.jpg

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

시청 식

http://spp.seoul.go.kr/cms/board/Download.jsp?fileId=IUAjJDI0

MDA0LS0kJA

http://spp.seoul.go.kr/cms/board/Download.jsp?fileId=IUAjJDEz

Nzk2LS0kJA

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

14

3-2. < 공격 상 >

1) victim 다운 드 url 공격

(1)

http://spp.seoul.go.kr/cms/board/Download.jsp?fileId=IUAjJDEx

MzUwLS0kJA

우리 공지사 게시

http://pot.wooribank.com/pot/c

omm/bbs/NewsBBS_Qry.jsp?q=

C0A8582B189E02D2E8CBAF1

B1720C416D16BC557C325D4

&Seq=3274&NowPage=2&Bbs

Code=45&RowCnt=10&Search

Gubun=01&SearchValue=&Bbs

Info=Y|N|N|N&GRP=3274

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

공지사 게시

http://www.bok.or.kr/down.sea

rch?file_path=/attach/kor/561/2

009/11/1257227713294.hwp&fi

le_name=1118 공고.hwp

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

지 게시

http://www.mnd.go.kr/mndMedi

a/inform/notice/index.jsp?topM

enuNo=1&leftNum=1/ 보 료.

hwp

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

청 지

http://www.president.go.kr/kr/_

lib/bbs/remote_view.php?data_

path=bWFpbnRodW1icy8xMjU4

MTc4NzQzLmpwZw

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

청 공지사 게시

http://www.nts.go.kr/news/new

s_06.asp?minfoKey=MINF5320

080211205338&top_code=&su

b_code=&sleft_code=&cipherte

xt=&type=V#

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

울 지 경찰청 공지사

https://www.smpa.go.kr/smpa2

007/bbs/board/down.asp?anum

=42779

복 다운 /특 업에

복 IP 가능/ 체 다운

트 없

victim 웹 scan 여 공격 다운 드 URL 찾 낸다.

건

① 누 에게나 공개 웹다운 드 URL

② 책 스트 : 특 ip 복 업 시도에 차단 enable/disable에

스트

③ 계 여 다운 드 연결 개수 없는지 스트

ex) 사시 사 다운 드 URL, 게 싸 트 게 s/w 다운 드 URL, 업

15

(2)

(3)

트(각 에 웨어) URL

victim destination url과 스 링 트 업 트

①시 그 에 등 비PC 에는 그 통 여 IRC채 채 생 게끔 포

다.

채 채 주 값 (0~10000) 지 값 취 여 채 값 생 낸다.

또 같 채 채 주 값 생 여 채 채 근 시도 다.

채 채 근 루 계 복 여 access시에는 당 루 게 다.

그런후에는 채 채 개 컴퓨 채 채 에 pc들간 시스

료시 지 지 다.

시스 재시 시에는 여 다시 채 통 비pc간 통신 지

다.

②공격 비pc는 채 채 통 다 비pc에게 공격지 url과 스 링

다.

식 : fghjshksd11x1( 쉬값) dst:http://www.naver.com/1111.zip date:09/11/30

쉬 : sha-256

같 공격 다 비pc에게 IRC 스크립크 통 게 다.

쉬값 공격 가 비pc 에 미리 심어 공격 통 쉬값 다.

공격 는 공격지 ip 스 링 트 미리 공격 끼리 시키값

여 싱처리 공격 시지 에 첨 다.

그 게 공격 비 pc는 우 공격지url과 date 미리 사 에

진 시키값 여 encryption 후에 어진 시값과 비 여 본다.

비 어진 시값 게 공격 가 사 에 시키값 공격

는 것 다.

그 게 비pc는 당 다운 드URl 티 스킹 공격 에 여

destinaton url과 date 스 링 다.

victim에 공격 시 다.

① 비pc들 시간동 IRC채 채 통 destination url과 트 스 링

후에 당 시간 공격 시 다.

② 비pc 에는 다 과 같 그 포 어 다.

► 동시 다운 드 수 지스트리(windows )

본 동시 다운 드 가능개수는 2~3개 어 지만 당 지스트리 값 늘 주

어 동시 다운 드수 어 다.

► auto loop downloading 그

공격 url 여 당 url 연 50~80 상 다운 드가 루어

16

2) 공격 달 체계 립

지도 그 어 다.(multi tasking 여 순차 니 격

동시 루어지게 다.)

③다운 드 URl 티 스킹 공격 감 다.

② 그 여 동 당 다운 드 URL 연결 다.

에 사 에 업 닌 동 그 게 므 훨 빠 게 다

수 연결 여 50개 도 다운 드 스 가동시키게 다.

④victim 공격 시간 지시킨다.

비pc에 50개 도 다운 스 생 비pc 리 스 많 차

지 게 어 많 도 가 게 여 시간 상 다운 스 지

가능 게 다.

⑤ 비pc에 든 다운 스가 료 후에는 다시 상 pc 복귀 여 다

시 ①~⑤과 복 게 다.

IRC채 다.

①activex , p2p 통 다운 드 비pc 에는 공격 체계 립과 여

그 재 다(공격 달에 그 시 그 에 등 어

시 리상에 는다.).

► IRC 채 채 개 : 스크립트 여 채 채 개 게 다. 채 채

값 ( :1~1000,a~f, 10개 ) 게 생 다.

시스 료시 지 채 채 지가 고 시스 재시 시에는 다시 값

여 채 채 개 다.

►IRC채 채 : 스크립트 여 채 채 시도 다.

채 채 값 ( :1~1000,a~f, 10개 ) 게 생 다.

생 채 채 값 지 시도 고 IRC 었다

는 response 값 게 지 고 당 채 채 에 게 다.

►공격 달 스크립트 : 채 채 개 비pc는 공격 스크립트 통

달 다.

) fkjaasx01x00 ( 쉬값) dst url:http://www.naver.com/1111.avi (공격지 url)

date: 09/11/30 (공격 시간 스 )

공격 같 고 시값 dst url과 date 시처리 여 생

다.

시키값 사 에 공격 가 킷값 사 다.

또 쓰 값 생 에 생 공격 수 여 스크립트 통 다 비 pc

달 다.

►공격 수 스크립트 : 채 채 에 참가 비pc는 공격 스크립트 통

달 게 다.

) fkjaasx01x00 ( 쉬값) dst url:http://www.naver.com/1111.avi (공격지 url)

date: 09/11/30 (공격 시간 스 )

공격 같 고 게 우 시값 다.

17

사 에 킷값 여 dst url과 date 쉬처리 여 시값과

비 여 같 상 공격 지 고 그 지 비 상 공격

간주 여 drop 게 다.

►IRC 공격 스크립트 다운 드URL multitasking 공격 그 간 연결 스크

립트

공격 달 게 당 dst url과 스 링 트 multitasking 공격 그

과 연결 수 는 스크립트가 다.

스크립트는 시 스트 통과 dst url과 스 링 트 multi tasking 공격 그

에 삽 다.

그 후에 삽 dst url과 스 링 트 IRC 채 채 에 스크립트 뿌리게 다.

가지 업 실 게 다.

►쓰 값 생

상 공격 숨 여 사 에 시키값과 다 값 여

싱 생 다.

) 0x0xfffgak ( 쉬값) dst url:http://www.naver.com/1111.avi (공격지 url)

date: 09/11/30 (공격 시간 스 )

에 시값 사 에 상 킷값 지 고 쓰 값생 에

생 킷값 여 싱처리 다.

생 시값 공격 달 스크립트 통 다 비pc 게 고

비pc는 시 통 여 값 진 여 단 여 drop시키게 다.

② 비pc 채 채 개 과 채 채 참여가 루어진다.

비 pc는 감염과 동시에 ①에 그 통 여 채 채 값 개

게 다.

개 게 시스 료 지 지 지 고 다 비pc가 채

채 수 게 채 지시킨다.

채 채 개 과 동시에 ① 그 여 값 채 채

도 지 시도 게 다.

루어 상 response 게 다 채 시도

지 고 당 채 에 공격 게 다.

시스 재시 후에는 다시 업 복 여 IRC채 에 게 다.

③지 비pc간 통신

IRC채 개 과 루어지게 IRC 개 비 pc는 쓰 값 생

통 생 쓰 값 IRC스크립트 지 채 참가 비pc들에게 다.

그 게 여 지 허 공격신 주고 그 통 역 게

다.

쓰 값 비pc는 공격 수 스크립트 통 시값 당 킷값에

것 지 닌지 단 여 drop시킨다.

18

3-3. < 비PC 킷 상 내 >

● CDOS 킷 상 내

1) 지스트리 변경/등

① 동시 다운 드 수

MaxConnectionPerServer 지스트리 DWORD값 늘 본 2~3개 어

는 웹 다운 티 스킹 리게 다.

④공격 달

공격 역시 비 pc 보 여 다 비 pc 마찬가지 irc채 수립

참여 복 다.

공격 비pc 역시 비pc간 연결 루어지 쓰 값 생 여 지 통신

시도 다.

그러다가 공격 가 지 공격 는 상 시키값 여 싱처리 값

포 상 공격 신 IRC채 에 참여 비pc에게 달 게 다.

⑤공격

공격 상 공격 A 비pc는 공격 수 스크립트,공격 달

스크립트,IRC 공격 스크립트 다운 드URL multitasking 공격 그 간 연결

스크립트 여 신 IRC채 에 참가 B,C,D,E,F 비pc들에게 달 다.

공격 B,C,D,E,F 비pc들 신 IRC채 에 G......X.....a....x 지

컴퓨 들에게 달 게 다.

값 IRC채 개 고 참여 게 지만 었고 IRC채

에 참여가 내에 상 참여 다는 response 지 지

에 시 뿐 결 에는 든 비pc는 공격 달 게 다.

⑥공격 신변 보

공격 당 당 시간 지 스는 지 루어진다.

시간 게 공격 비pc에 1~2 상 거쳐가게 고

결 그 통 진원지 찾 사실상 가능 다. 또 지 쓰 값

통신 그 수 늘어 공격진원지 단 가능

고 가능 여도 매우 workfactor가 다.

;MaxConnectionsPerServer number

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet

Settings]

"MaxConnectionsPerServer"=dword:00000028

;MaxConnectionsPer1_0Server number

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet

Settings]

"MaxConnectionsPer1_0Server"=dword:00000028

19

② CDOS 킷(공격 체계 그 ) 시 그 등

③ 보

보 activex차단 ,

다운 드 스 동시 차단

2) 공격 체계 그

IRC채 비PC간

통신 는 그 비PC는

IRC채 생 고 다 비PC

IRC채 에 근 다. 당 그

지스트리 통 도우

시 그 에 등 어 시스 시

시마다 동 게 다. PERL

여 그 다.

에 스 드가 등 어

다.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN]

[HKEY_CURRENT_USER_\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN]

[HKEY_CURRENT_USER_\SOFTWARE\MicrosoftWindows\CurrentVersion\Internet

Settings\Zones\0]

//IRC 컴포 트 사

use POE qw(Component::IRC);

// 채 5개 생 ( 채 )

for(my $i=1;$i<6;$i++)

{

my $tempch[0] = '#'

my $tempch[1] = 'rand(10000)'

@joinchannel = join('',@tempch)

}

// 채 5개 생 (생 채 )

for(my $i=1;$i<6;$i++)

{

my $tempch[0] = '#'

my $tempch[1] = 'rand(10000)'

20

3) CDOS 공격 그

IRC채 통 공격 수 게 공격

그 공격 지 여 우 HASH 드

다. 공격 가 사 에 킷값

당 공격 게 고 지 다 , 당

DROP 다. 그 에 는 공격

공격날짜 공격지 URL 고 스 링

게 다. 게 여 공격 시간 공격

시 여 공격 URL 근 시 게 다.

@createchannel = join('',@tempch)

}

print "Connected to ", $irc->server_name(), "\n";

// 생 5개 채 생

$irc->yield( creat => $_) for @channel;

// 생 5개 채 에 $irc->yield( join => $_ ) for @joinchannel;

/*스 러 & 복 다운 드*/

#include <stdio.h>

#include <stdlib.h>

#include <time.h>

#define MAXREPET 10 // 복다운 드수

#define MAXSTR 3

int main()

{

int j=0,i=0;

char* str[MAXSTR];

FILE* fd;

//------------------------------스 러-----------------------//

time_t curr_time,att_time;

struct tm curr_ts,att_ts;

21

4. 사 에 미 는

● 4-1. CDoS

CDOS는 에 지 다운 드 청 보내 과 키는 식 에 다운

드 가능 재 는 는 공격 가능 다는 가 립 다.

에 살펴보 다운 드 가능 공 는 것 만 CDOS에 취

는 것 다. 말 다운 드 공 지 는 는 CDOS공격

에 취 지 는 것 볼 수 나, 러 웹 는 실 재 어

다. 는 웹사 트에 어 다운 드 능 수 능 는 것

다수 웹사 트가 CDOS공격에 취 고 는 것 결 지 수 다.

다운 드가 가능 들 공 고 는 에 체 검

루어 는 사 비 상당 것 생각 다. 에

time(&curr_time);

curr_ts=*localtime(&curr_time);

att_ts.tm_year=109; //1900+

att_ts.tm_mon=11-1; //0 1월

att_ts.tm_mday=15;

att_ts.tm_hour=17; //0~23

att_ts.tm_min=23;

att_ts.tm_sec=0;

att_time=mktime(&att_ts) ;

while(1){

if(curr_time==att_time){break;}

if(curr_time>att_time){exit(1);}

time(&curr_time); }

//-------------------- 동 다운 드 ----------------------------//

fd=fopen("c:\\temp\\down.html","w+t");

str[0]="<HTML><HEAD><TITLE>Down</TITLE>";

str[1]="<META HTTP-EQUIV=\"REFRESH\" CONTENT=\"0;URL=다운 드URL경

\">";

str[2]="</HEAD><BODY></BODY></HTML>";

for(i=0;i<MAXSTR;i++){fputs(str[i],fd);}

fclose(fd);

//-------------------다운 드 복 ----------------------------//

while(j<MAXREPET){system("c:\\temp\\down.html");j++;}

//--------------------- 료& 리---------------------------//

system("del c:\\temp\\down.html");

exit(1);

return 0;}

22

는 업들 결과 리에 어 다운 드 공 스 , 근 가능/

공 가능 계 시키므 역 웹 보 상에 여 는 상

생 게 다.

● 4-2. P2P BOT 사 에 미 는

master -> slave 식 irc bot nertwork는 공격 내리는 마스 pc ip 또는 마

스 irc 채 차단 감염 bot 료 지 도 시 공격 단시키

는 것 가능 다. 그러나 pure p2p 식 irc bot network는 공격 도 나 bot

므 마스 ip 차단 는 것 원천 가능 다. 다시 말 bot 스스 공격

/수신 므 들 공격 지시키 는 감염 든 bot 료 만 다.

DoS공격 bot 보 에 보 개개 주 감염 루어지

므 , 개개 보 리에 심 울 다 bot 다수 보가 가능 게 다.

다수 개개 pc 리에 심 울 지 dDoS공격 계 수

에 없다. 또 P2P Bot 식 감염 pc 료 지 공격 단 수 없 므 1. 공

격 루어지는 차단 2. bot pc 강 수 3. / 등 통 bot pc

직 통보 등 통 만 공격 지시킬 수 다.

DDoS 공격 수 상 bot 보 었 므 , 1/2/3과 같

처 수 고 는 미 수만 상 P2P Bot 감염 것 볼

수 다. 감염 pc 료 Anti-Virus( 신) 폭 수 가가 상

다. 또 결 도 는 사 Anti-Virus 그 량 생산/ 포

수 므 Anti-Virus / 포 계 비 것 생각 다.

5. 참고 료

1) 보 보 개 : 큰 그림 그 주는 보 보

[IT COOKBOOK 시리 ( 빛미 어) 84]

빛미 어2008.06.28

2) 러스 도스 Virus DDOS : 그 짧 가 컴퓨 & 러스

상 샤 2009.10.01

3) 리 킹 Application Hacking ( ) : 민 고 보 연 원들 공개

는 리 킹 비

상민, 남 , 태훈 웅 감수 2009.06.25

4) 보보 동 리 웹사 트 KUCIS http://kucis.org/

5) - 보보 커 니티 http://cafe.naver.com/korsec

6) 철수 연 http://home.ahnlab.com

7)웹, 킹과 어 : 사 보 보 웹 개 가 드

경철 리 ( 지 리)2008.12.01

8)웹 킹 & 보 벽 가 드 : 웹 리 보 취 겨냥 공격과 어

[에 킹 보 시리 ]

드 스 타드, 마커스 도근, 경곤, 경, 역에 사2008.11.21

9) 비스 거 공격에 비 TCP/IP 스택 강 블 그

http://www.wssplex.net/TipnTech.aspx?Seq=127