Upload
lythien
View
229
Download
3
Embed Size (px)
Citation preview
1
P2P BOT 집 비스 거 공격
, 진 욱, 지 , 심 철, 찬
단 드빈
Concensrational Denial Of Service in P2P Bot
Kwon Ohhyun, Kim Jinwook, Park Jiyoung, Sim Hongcheol, Jung Chanyoung
DANKOOK University Security Club, RED BeanZ
< 목차 >0.
1. DoS, DDoS 공격
1-1. DoS
1-1-① DoS 태
1-1-② DoS
1-1-③ DoS 킹 과 차
1-1-④ DoS 계
1-2. DDoS ?
1-1-① DoS 차
1-2-② Bot Network
1-2-③ DDoS 사
1-2-④ DDoS 계
2. CDoS
2-1. CDoS ?
2-2. CDoS 개 경
2-3. CDoS 개 과 에 시 착
2-4. CDoS 개
3. CDoS공격
3-1. CDoS 공격가능 , 상
3-2. CDoS 공격 상
3-3. 비 킷 상 내
4. 사 에 미 는 과
4-1. CDoS
4-2. P2P BOT 사 에 미 는
5. 참고 료
2
0.
근 사 심각 타격 7.7DDOS공격 DDOS공격 변
시시각각 변 고 는 킹 공격에 사 수 겠다.
에 우리는 새 운 DDOS공격 개 고 여 CDOS 개 다.
CDOS공격 다수 비pc victim 공격 닌 수 비pc가
victim 에게 다수 트 가능 다.
DOS공격시 비PC 수는 DDOS에 비 30%수 지 낮 수 다.
다 는 공격 달 체계 변 다.
그림과 같 DDOS공격 공격 달 직 달 또는 미리 그
스 러 다 CDOS공격 비PC간 통신 통 스 링 그
여 공격 지시 게 다. 에 공격 역시 비pc가 어 다 비pc
통신 게 다. 비pc는 상 공격 에 수시 가짜 공격 (쓰 값)
통신 여 어에 어 움 주는 편 여 킷 늘어 공격 신원보
공격 드 보 에 주게 다.
공격 시)
0kf1x11wefj( 쉬값) destinaton url:http://www.naver.com/1111.zip date:2009/11/30
시값 공격 가 사 에 미리 시키값 공격 에 생 시 드만
상 식 여 쓰 값 타 공격통 다.
victim 에 공격 victim 에 재 는 다운 URL 통 건/ 복
연결 여 당 마비시키는 택 다. / / 에는
사 들 상 연결 가능 다운 드 URL 포 고 어 웹상에 시도가
가능 다.
체 공격 그 과 비pc 킷 본 에 술 다.
그림 2 새 상 CDOS공격 그림 1 DDOS 공격
3
1. DoS, DDoS 공격
1-1. < DoS >
● 비스 거 공격( 어: Denial of Service attack, DoS) 시스 공격
당 시스 원 게 여 원 도 도 사 지 못 게 는 공격
다. 특 에게 수많 시도 만들어 다 가 상 비스
지 못 게 거나, TCP 연결 닥내는 등 공격 에 포 다.
수단, 동 , 다 수 지만, 보통 사 트 또는 비스 능 시
또는 또는 단 다. 통상 DoS는 사 트,
, 신 드 지 게 트웨 , 또는 심지어 루트 상 루어진다.
1-1-① < DoS 태 >
1-1-② < DoS >
(1) SYN Flood 공격
본 클 언트 사 에 통신 3단계 루어 다.
① 클 언트는 킷크 포 보 에 여 연결 시 다.
② 는 클 언트가 보낸 보 답 다.
③ 클 언트는 수신 보에 동 고 승 다.
단 에 수천 개 TCP (SYN) 청 시지 보낸다. 킷내 스
IP 주 거나, 상에 사 지 는 IP 주 값 변 다. 그러 는
새 운 맺 실 는 재 지 거나 동 지 는 IP 주 값
SYN/ACK 답 다.
, 는 SYN/ACK 답 보낸 클 언트 ACK가 지 다리게 는
, 는 ACK 시지 지 못 게 다. 게 는 ACK 지
같 원 계 료 지 고 열어 게 는 , 계 누 경우 결 시스 다운
거나 비스 단 는 사태가 생 다.
4
(2) Smurfing 공격
Smurfing 공격 그 과
여 가 운 DoS 에 나
, IP ICMP 특징 다. 브
드 스트 는 트워크 주 나
트워크 브 드 스트 주 에 직 보내
질 수 다. 만 192.168.0.0/24
가진 트워크가 다 , 트워크 ID는
192.168.0.0 것 고 브 드 스트 주
는 192.168.0.255가 것 다. 브 드
스트는 지 내에
각각 주 없 엇 동
는지 진단 사 다.
Smurfing 공격 직 브 드 스트 가지 공격 , 폭 트워크
다. 공격 는 폭 트워크 브 드 스트 주 공격 가
는 것처럼 킷들 원본 주 여 ICMP ECHO 킷 고, ICMP ECHO
킷 수신 폭 트워크 내 든 시스 공격 에 답 게 다. 만 공
격 가 브 드 스트 에 답 100개 시스 가진 폭 트워크에 나 ICMP
킷 보내게 , 공격 는 100만큼 과 DoS 공격 수 다.
Smurfing 공격 어 는 직 브 드 스트 경계 우 에 사 수
없게 만들어 다.
1-1-③ < DoS 킹 과 차 >
지 지 킹 보 시스 " ", " 결 ", "가 " 에 ‘ ’과 ‘ 결 ’
는 비 개 보 도 , 보 변 창 같 었다.
에 ‘가 ’ 역 사 들 식 었 만큼 킹 도 달 지 못 역 었다. 그
수많 사 트들 동시 수가 늘어나 가 에도
고 비스 공 업체들 같 킹 나 러스처럼 심각 게 생각 지
는 경우가 많 다. 그러나 ‘가 ’ 실 곧 생산 실 연결 다. 특
료 비스 공 는 상 에 가 에 가 생 다 수 직
게 다. , 지 지 시간 생산 실 미 고, 사 들 당
사 트에 다시 생각 게 것 다. 결 게 가 에 식 지
, 식과는 다 가 DoS 공격 등 게 다. 또 원리도 단순
당 에 는 시스 사 능 과 는 트 생시
키는 간단 식 에, ‘가 ’ 킹 KEY가 었다.
1-1-④ < DoS 계 >
DoS 공격 가지고 공격 , 1:1 게 다. 그 에
계가 다. 공격 지만 개 PC 는 계가 마 다. 또 간계
재 지 공격 가 비 쉽게 당 염 가 다.
●● 클 언트 통신 클 언트 통신
●● Smurfing 도 Smurfing 도
5
1-2 < DDoS ? >
' 산 비스 거 ' 또는 ' 산 비스 거 공격' 고도 다. 여러 공격 산
여 동시에 동 게 특 사 트 공격 는 킹 식 나 다. 비스
공격 도 들 여러 컴퓨 에 심어 고 공격 사 트 컴퓨 시스
처리 수 없 도 엄청난 량 킷 동시에 시킴 트워크 능
시키거나 시스 마비시키는 식 다.
공격 드나 등 통 여 사 사 PC 감염시
' 비PC' 만든 다 C&C( 어) 어 통 여 특 시간 에 수 다.
1-2-① < DoS 차 >
Dos DDoS 공격 당 트
과시 트워크 시스 마비시키는 에 는
공통 나 간 계 고 내 공
격 실 다는 에 차 보 다. 또
ZOMBIE 만들 드나 스크립트
포 업 가 다. 그러나 DDoS
는 DoS보다 어 우 , BOT 사
여 당 트 과 보다 쉽게
수 고, 감염 PC는 공격 마
원격 가능 다.
1-2-② < BOT NETWORK >
‘ ’ 원격 어 그 미 다. 커들 원격 특 시스 ‘ ’
다. 보 가 시스 경우 감염 가능 매우 다. 단 ‘ ’
시스 에 몰 상주 , 커 에 움직 게 다. 또 보 빼내갈 수도
다. ‘ ’ 신 숨 는 닉 능과 신 그 료시키고 업 트도
차단 는 능 가지고 다. 에 감시가 실시간 게 루어 다.
2005 상 동 , 루 평균 10,352개 견 다. 러 트워크 격
가가 근 DoS 공격 사 가 주 것 다. 공격 동 는
가능 다. 또 감염 어 트워크 여 료 비스 는 사
견 도 다.
1-2-③ < DDoS 사 >
● 7.7사태
2009 7월 과 미 주 과 포 사 트, 사 트 등에 가 진 공격
7.7 또는 사태 고 고 다. 7월 4 미 사 트들에 여 1차 공격 수
었고, 에 는 7월 7 3차 공격 수 었다. 공격 상에는 미 과
청 비 여 주 언 사 주 당, 주 포 사 트가 포 었는
●● DoS DDoS 차DoS DDoS 차
6
, C&C 공격 달 는 것 니 감염시 생 는 공격
동공격 수 는 식 었다. 감염 수만 컴퓨 가 비PC 동
내 주 과 포 사 트에 다.
● 거 사 트
2007 10월 12월 지 수차 에 걸쳐 내 게 거 사 트가
DDoS공격 여 마비 는 사태가 어 었다. 비PC 여 트
과 는 가 공격 었다. 첫 공격 지난 10월 에 어났다. 공격
근 2주간 사 트 원 지 어 움 겪었다. 후 도 수차 공
격 었고, 그 마다 사 트는 마비 는 상 생 다. 비스 사
는 1400억원 도 고 다.
1-2-④ < DDoS 계 >
DDoS는 여러 단계 거쳐 가 에, 마스 비 PC만 복 ,
공격 상 수 수 없게 다. 또 공격 는 여 보통
달 다. 공격 수 트워크 는 시간도 고 다. 또 스
러 는 식에 어 는 드 후에는 ZOMBIE 어 수 없다.
근에는 ‘ ’ 개 PC에 료 는 도 많 나 고 고, 벽 나 신 여
에 는 경우가 많 에, BOT NETWORK 리 어 움 다.
2. CDoS
2-1. <CDoS ?>
CDOS공격 다수 비pc victim 공격 닌 수 비pc가
victim 에게 다수 트 가능 다.
DOS공격시 비PC 수는 DDOS에 비 30%수 지 낮 수 다.
CDOS공격 비PC간 통신 통 스 링 그 여 공격 지시 게
다. victim 에 공격 victim 에 재 는 다운 URL 통 건/
복 연결 여 당 마비시키는 택 다. / / 에는
사 들 상 연결 가능 다운 드 URL 포 고 어 웹상에
시도가 가능 다.
2-2. < CDoS 개 경 >
근 사 심각 타격 7.7 DDOS공격 같 비 간단 원리에
심각 타격 수 는 공격 후에도 가능 는 공격 다.
에 DDOS에 어도 차 고 는 상 지만 다 지는 공격 에
어에는 계가 다고 생각 다.
우리가 미리 다 지는 에 상 보고 그 연 보 엿다.
- DDOS 공격 맹 -
7
● DDOS는 비PC가 victim에게 상 트 도 여 공격 는 식
다수 비PC 지는 공격 다.
그러나 에 상 CDOS공격
●● 새 상 CDOS공격 새 상 CDOS공격
그림과 같 Victim 에 여러개 syn/ack 비PC 여
시키는 공격 택 다.
또 여러 비pc에 VICTIM 킷 보내는 신
VICTIM 에 비PC 여러개 킷 보내는 식 다.
어느 도는 DOS공격과 비슷 상 보 도 지만 에 내
보게 연 차 느낄 수 것 다.
마 DDOS공격에 비 30~50 도 수 비PC 여 똑같 과 낼
수 는 공격 고 겠다.
공격루트 또 누 에게나 공개 지 여 공격 고
source ip 사실상 어는 가능 것 보고 다.
● 째 공격통 다.
7.7 에 사 었 변 DDOS 공격 스 링 여 미리 삽
공격지/시간에만 공격 가능 도 그 어 어 공격 통 가 가능 다.
2 DDOS공격과 새 운 CDOS공격 공격 능비
DDOS공격 새 운 CDOS공격
공격 킷 비PC→VICTIM VICTIM → 비PC
공격 킷
( 비PC 1 : VICTIM 1)
1 connection(공격 킷
상 비 1)
30~50 connection(공격 킷
상 비 30~50)
비pc 상 수 100% 30%
8
그 공격 신변보 가 었지만 가지고 는 공격 는 매우
것 사실 다. 에 우리는 공격통 공격 가 공격
신변보 지 가능 생각 보 다.
여 심 비PC끼리 사 통 다. 비PC끼리 주 사 통 통 여
공격지 결 고 시간 결 시에는 변경 변 비 등 동
가능 다.
여 사실 비PC끼리 사 통 여 공격 진 지는 사실상 찾 가
가능 공격 또 비PC 사 게 어 공격에 통 득 수 게
다.
●● DDOS 스 링 과 CDOS 스 링 비DDOS 스 링 과 CDOS 스 링 비
DDOS 공격 attacker->zombi pc->victim 었다 CDOS공격
(zombi pc(공격 가 보 비 PC)->zombi pc->zombi pc->...->zombi pc->zombi
pc(공격 가 보 비PC)...->zombi pc-> victim) 순 다.
CDOS공격에 는 ATTACKER 신도 비PC가 어 다 비PC 똑같 동 게
다.
CDOS공격 공격 가 보 비PC 신변보 비PC간 지 는 에
9
지 게 다. 또 zombiPC끼리 쓰 값 지 통신 통 실 공격
드 찾 거 가능에 가 다.
.
●● CDOS 공격 달 체계CDOS 공격 달 체계
그림에 볼수 듯 러 공격 는 게 공격통 가지게 다.
2-3. < 개 과 에 시 착 >
victim url 다운 드 공격시 비PC 동시 지 VIctim과 비PC간 연결
시간 어 다. 그러 첫 째 우리는 웹상에 다운 드
시 도우 시 러리 에 다는 에 주 다. 시 러리 당
●●● 각 DOS 공격간 공격 달에 비각 DOS 공격간 공격 달에 비각 DOS 공격간 공격 달에 비
DDOS 7.7 DDOS CDOS
공격
달체계직 달 식
사
스 링 삽비PC간 공격 달
공격 달
시공격시에 달 사 에 스 링 공격시에 스 링 달
ATTACKR/공격
험
비PC에게
직 공격
달
역
스 링 여
공격과
ATTACKER
연 미
ATTACKER가 직 공격
스 링 달 지만
ATTACKER 역시 비PC 통
달 별 어 움
또 공격 에도 지
쓰 값 통신 통 상
공격 찾 가 듬
10
지 지워주는 생각 보 다. 그 게 다운 드 계
낮춰 지 연결 가능 도 고 다.
다 째 는 당 다운 드 스 suspend 드 다. 당 다
운 스 지 suspend 드 시 주 그만큼 victim 연결
시간 늘릴 수 어 동시 스 개수 늘릴 수 거 생각 다. 그러나 우리
연 다운 도 감 다. 그 다운 드 여 당
다운 드 url 동 /지 실 시키게 비PC 리 스 여 동
다운 도가 낮 동시 task 지시킬수 다.
다 공격 달 생각 보 다. 공격 달 마스 PC나 공격 pc
에 상 식 내 지는 공격 에 는 공격 신 우 는 상 었다.
그 첫 째 우리는 비PC끼리 공격 달 체계 고 생각
다. 비 PC에 감염 게 당pc는 시 주변 비pc에게 미없는 킷
시 다. 런식 비pc는 주변 비pc 지 킷
공격 달 비 마 다. 여 심 공격 역시 비pc 보 다는 생
각 다. 그 게 공격 비pc 역시 다 비pc 마찬가지 지 비pc간
통신 루어지게 다. 에 공격 가 지 공격 가 당 공격 에
destination url 스 링 시간 미리 킷 게 다. 비pc는 비
에 포 그 url연 공격 그 당 킷 수신 게 당 킷
미리 공격 가 식 킷 는 것 쉬값 통 후에 당
ip 스 링 게 다. 그러나 여 비pc간 식
다. 비pc간 식 는 비pc ip주 나 mac address에 리스트나 특
역 ip만 비pc만 규 는 게 어 에 당 비pc
색 쉽게 어 공격 강도가 질 수 에 없다. 그럼 생각 고
IRC채 다. 단 비pc는 감염 시 IRC채 채
값(1~1000 내/ 는 10개내 ) 여 생 게 다. 그 후 채 채 만듬
과 동시에 감염 시 IRC채 채 값(1~1000 내/ 는 10개내 )에 탐색 시
다. 게 여 비pc끼리 연결 다. 특 비pc가 생 irc채 채
에 다 비pc가 게 간 통신 루어지게 다. 런식 irc채 채
에는 수개 비pc가 연결 어 당 비pc들끼리는 채 생 비pc 쉬값
과 공격지 ip/url 과 date 스 슐링 게 다.
(ex. 0kf1x11wefj( 쉬값)
destinaton url:http://www.naver.com/1111.zip date:2009/11/30(공격지 url 스
링 트))
그러나 여 또 가지 쉬값 다. ex 시지 비 pc는 우
쉬값 여 킷값에 쉬값 지 다. 그 hash키에
decrtptinon 값 url 스 링 date 게 고 그 지 시에
는 당 url 스 링 리게 다. 공격 비pc만 쉬키값
encrytion 게 고 나 지 비pc들 엉뚱 킷값 여 encrytion 게
다. 그 게 공격 비pc만 공격통 가지게 다. 또 공격 에 역
척에 도 에 말 어가 가능 게 다. 공격 공격 내 지
11
에 미 비pc들 IRC채 채 여 지 쓰 값들 게
다. 그러 에 공격 가 공격 내리게 진짜 공격 값 찾는것 가능
다. 또 든 비pc가 irc채 채 개 여 간 통신 가능 게 어
공격 상 식 니 루 식 비pc간 통신 지게 특 시
간후에는 복 공격 달 게 공격 찾는 것 욱 어 게
다.
마지막 다운 URL공격 당 통신 립 만 공격 루
어지게 는 그럴러 ip spoofing 가능 게 다. 그 게 비pc가
게 다. 또 가지는 다운 드 스 multitaksing ip address 변경 가
능 게 어 어 는 에 는 복 ip에 복 업 청 deny 게 어
가 쉬워진다.
2-4. < 개 >
비pc는 victim url에 다운 multi tasking 공격 감 게 다. 개 비
pc당 30~50 도 multi tasking 통 victim busy 게 만들게 다. 게
공격 는 게 공격통 가지게 다.
●● 시 착 도식시 착 도식
동시 스
지
1. 도우 시 러리
지 삭
2. 당 다운 드 스
suspend mode 수시
연스러운 다운 도
감 (연 가 는 다
운 스 첩
비PC 리 스 감
다운 스 도가
다.
공격 달
1. 비PC IP 여
비PC간 통신 지
2. 비PC MAC ADDRESS
여 비 PC간 통신
지
IRC채 통신
( 비PC가 IRC채 개 /참
여 통 비PC간 공격
달)
공격통 누 나 공격통 득 가능
공격 에 시값
어 ATTACKER에 공격
지 단
12
3. CDoS공격
< 공격 단계 술 >
●●● 공격 순 도공격 순 도공격 순 도
_____________________________________________________________________________________________
(참 )
1)공격 그 /IRC채 리/공격 그 공격싸 트 다운 드url 루 스크립트 IRC채
채 생 PERL언어 (채 생 )
IRC채 채 PEAL언어 (채 )
2)공격단계 1,2,3
①victim 공개 다운 드 URL 미리 다운 드 루 그 여 당 URL
에 복 다운 드 시도 다. 에 다운 드 스가 첩 수 게끔 빠 게 연결
여 첩 스가 30~50개 지 다. 비PC 능상 30~50개 다운 드 스가 걸리
게 연스 다운 도가 느 동시 스 개수 지가 진다.
② 수 상 비PC VICtim간 연결 립 비PC 과 막 VICTim과
다.
③ 당 VICTIM 는 과도 연결 상 동 어 게 다.
13
_________________________________________________________________
3-1. <CDoS공격 가능 , 상>
● 든 공 . . 업, 등 사 는 보 VICTIM
● 다운 드 URL 보 든
( 사시 에 많 업들 사 료 다운 드 링크 다.
● 게 사 트 게 다운 드
● MS 다운 드 등
다운 드 URL CDOS 공격
삼 다운 드
http://www.samsung.com/sec/support/download/supportDown
Main.do
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
LG 다운 드 http://www.lgservice.co.kr/Sea
rchSddr.laf
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
MS 다운 드
http://www.microsoft.com/dow
nloads/search.aspx?displaylang
=ko
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
마 http://www.tomatobank.co.kr/
04_customer/data/09.pdf
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
신
http://img.shinhan.com/hpe/data/upload/comadm/bizbbs/03/091111_230011502_s
eol.pdf
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
단 식 /공지
http://www.dankook.ac.kr/web/kor/d1_2?p_p_id=BBS_1_INSTANCE_Um1p&p_p_lifecycle=1&p_p_state=exclusive&p_p_mode=view&p_p_col_id=column-1&p_p_col_pos=1&p_p_col_count=2&_BBS_1_INSTANCE_Um1p_struts_action=%2Fext%2Fnotice%2Fgeta&_BBS_1_INSTANCE_Um1p_messageId=893238&_BBS_1_INSTANCE_Um1p_attachment=%EC%A1%B0%EC%A7%81%EC%9E%AC%EC%83%9D%EA%B3%B5%ED%95%99%EC%97%B0%EA%B5%AC%EC%86%8C+%ED%
95%99%ED%9A%8C.jpg
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
시청 식
http://spp.seoul.go.kr/cms/board/Download.jsp?fileId=IUAjJDI0
MDA0LS0kJA
http://spp.seoul.go.kr/cms/board/Download.jsp?fileId=IUAjJDEz
Nzk2LS0kJA
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
14
3-2. < 공격 상 >
1) victim 다운 드 url 공격
(1)
http://spp.seoul.go.kr/cms/board/Download.jsp?fileId=IUAjJDEx
MzUwLS0kJA
우리 공지사 게시
http://pot.wooribank.com/pot/c
omm/bbs/NewsBBS_Qry.jsp?q=
C0A8582B189E02D2E8CBAF1
B1720C416D16BC557C325D4
&Seq=3274&NowPage=2&Bbs
Code=45&RowCnt=10&Search
Gubun=01&SearchValue=&Bbs
Info=Y|N|N|N&GRP=3274
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
공지사 게시
http://www.bok.or.kr/down.sea
rch?file_path=/attach/kor/561/2
009/11/1257227713294.hwp&fi
le_name=1118 공고.hwp
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
지 게시
http://www.mnd.go.kr/mndMedi
a/inform/notice/index.jsp?topM
enuNo=1&leftNum=1/ 보 료.
hwp
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
청 지
http://www.president.go.kr/kr/_
lib/bbs/remote_view.php?data_
path=bWFpbnRodW1icy8xMjU4
MTc4NzQzLmpwZw
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
청 공지사 게시
http://www.nts.go.kr/news/new
s_06.asp?minfoKey=MINF5320
080211205338&top_code=&su
b_code=&sleft_code=&cipherte
xt=&type=V#
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
울 지 경찰청 공지사
https://www.smpa.go.kr/smpa2
007/bbs/board/down.asp?anum
=42779
복 다운 /특 업에
복 IP 가능/ 체 다운
트 없
victim 웹 scan 여 공격 다운 드 URL 찾 낸다.
건
① 누 에게나 공개 웹다운 드 URL
② 책 스트 : 특 ip 복 업 시도에 차단 enable/disable에
스트
③ 계 여 다운 드 연결 개수 없는지 스트
ex) 사시 사 다운 드 URL, 게 싸 트 게 s/w 다운 드 URL, 업
15
(2)
(3)
트(각 에 웨어) URL
victim destination url과 스 링 트 업 트
①시 그 에 등 비PC 에는 그 통 여 IRC채 채 생 게끔 포
다.
채 채 주 값 (0~10000) 지 값 취 여 채 값 생 낸다.
또 같 채 채 주 값 생 여 채 채 근 시도 다.
채 채 근 루 계 복 여 access시에는 당 루 게 다.
그런후에는 채 채 개 컴퓨 채 채 에 pc들간 시스
료시 지 지 다.
시스 재시 시에는 여 다시 채 통 비pc간 통신 지
다.
②공격 비pc는 채 채 통 다 비pc에게 공격지 url과 스 링
다.
식 : fghjshksd11x1( 쉬값) dst:http://www.naver.com/1111.zip date:09/11/30
쉬 : sha-256
같 공격 다 비pc에게 IRC 스크립크 통 게 다.
쉬값 공격 가 비pc 에 미리 심어 공격 통 쉬값 다.
공격 는 공격지 ip 스 링 트 미리 공격 끼리 시키값
여 싱처리 공격 시지 에 첨 다.
그 게 공격 비 pc는 우 공격지url과 date 미리 사 에
진 시키값 여 encryption 후에 어진 시값과 비 여 본다.
비 어진 시값 게 공격 가 사 에 시키값 공격
는 것 다.
그 게 비pc는 당 다운 드URl 티 스킹 공격 에 여
destinaton url과 date 스 링 다.
victim에 공격 시 다.
① 비pc들 시간동 IRC채 채 통 destination url과 트 스 링
후에 당 시간 공격 시 다.
② 비pc 에는 다 과 같 그 포 어 다.
► 동시 다운 드 수 지스트리(windows )
본 동시 다운 드 가능개수는 2~3개 어 지만 당 지스트리 값 늘 주
어 동시 다운 드수 어 다.
► auto loop downloading 그
공격 url 여 당 url 연 50~80 상 다운 드가 루어
16
2) 공격 달 체계 립
지도 그 어 다.(multi tasking 여 순차 니 격
동시 루어지게 다.)
③다운 드 URl 티 스킹 공격 감 다.
② 그 여 동 당 다운 드 URL 연결 다.
에 사 에 업 닌 동 그 게 므 훨 빠 게 다
수 연결 여 50개 도 다운 드 스 가동시키게 다.
④victim 공격 시간 지시킨다.
비pc에 50개 도 다운 스 생 비pc 리 스 많 차
지 게 어 많 도 가 게 여 시간 상 다운 스 지
가능 게 다.
⑤ 비pc에 든 다운 스가 료 후에는 다시 상 pc 복귀 여 다
시 ①~⑤과 복 게 다.
IRC채 다.
①activex , p2p 통 다운 드 비pc 에는 공격 체계 립과 여
그 재 다(공격 달에 그 시 그 에 등 어
시 리상에 는다.).
► IRC 채 채 개 : 스크립트 여 채 채 개 게 다. 채 채
값 ( :1~1000,a~f, 10개 ) 게 생 다.
시스 료시 지 채 채 지가 고 시스 재시 시에는 다시 값
여 채 채 개 다.
►IRC채 채 : 스크립트 여 채 채 시도 다.
채 채 값 ( :1~1000,a~f, 10개 ) 게 생 다.
생 채 채 값 지 시도 고 IRC 었다
는 response 값 게 지 고 당 채 채 에 게 다.
►공격 달 스크립트 : 채 채 개 비pc는 공격 스크립트 통
달 다.
) fkjaasx01x00 ( 쉬값) dst url:http://www.naver.com/1111.avi (공격지 url)
date: 09/11/30 (공격 시간 스 )
공격 같 고 시값 dst url과 date 시처리 여 생
다.
시키값 사 에 공격 가 킷값 사 다.
또 쓰 값 생 에 생 공격 수 여 스크립트 통 다 비 pc
달 다.
►공격 수 스크립트 : 채 채 에 참가 비pc는 공격 스크립트 통
달 게 다.
) fkjaasx01x00 ( 쉬값) dst url:http://www.naver.com/1111.avi (공격지 url)
date: 09/11/30 (공격 시간 스 )
공격 같 고 게 우 시값 다.
17
사 에 킷값 여 dst url과 date 쉬처리 여 시값과
비 여 같 상 공격 지 고 그 지 비 상 공격
간주 여 drop 게 다.
►IRC 공격 스크립트 다운 드URL multitasking 공격 그 간 연결 스크
립트
공격 달 게 당 dst url과 스 링 트 multitasking 공격 그
과 연결 수 는 스크립트가 다.
스크립트는 시 스트 통과 dst url과 스 링 트 multi tasking 공격 그
에 삽 다.
그 후에 삽 dst url과 스 링 트 IRC 채 채 에 스크립트 뿌리게 다.
가지 업 실 게 다.
►쓰 값 생
상 공격 숨 여 사 에 시키값과 다 값 여
싱 생 다.
) 0x0xfffgak ( 쉬값) dst url:http://www.naver.com/1111.avi (공격지 url)
date: 09/11/30 (공격 시간 스 )
에 시값 사 에 상 킷값 지 고 쓰 값생 에
생 킷값 여 싱처리 다.
생 시값 공격 달 스크립트 통 다 비pc 게 고
비pc는 시 통 여 값 진 여 단 여 drop시키게 다.
② 비pc 채 채 개 과 채 채 참여가 루어진다.
비 pc는 감염과 동시에 ①에 그 통 여 채 채 값 개
게 다.
개 게 시스 료 지 지 지 고 다 비pc가 채
채 수 게 채 지시킨다.
채 채 개 과 동시에 ① 그 여 값 채 채
도 지 시도 게 다.
루어 상 response 게 다 채 시도
지 고 당 채 에 공격 게 다.
시스 재시 후에는 다시 업 복 여 IRC채 에 게 다.
③지 비pc간 통신
IRC채 개 과 루어지게 IRC 개 비 pc는 쓰 값 생
통 생 쓰 값 IRC스크립트 지 채 참가 비pc들에게 다.
그 게 여 지 허 공격신 주고 그 통 역 게
다.
쓰 값 비pc는 공격 수 스크립트 통 시값 당 킷값에
것 지 닌지 단 여 drop시킨다.
18
3-3. < 비PC 킷 상 내 >
● CDOS 킷 상 내
1) 지스트리 변경/등
① 동시 다운 드 수
MaxConnectionPerServer 지스트리 DWORD값 늘 본 2~3개 어
는 웹 다운 티 스킹 리게 다.
④공격 달
공격 역시 비 pc 보 여 다 비 pc 마찬가지 irc채 수립
참여 복 다.
공격 비pc 역시 비pc간 연결 루어지 쓰 값 생 여 지 통신
시도 다.
그러다가 공격 가 지 공격 는 상 시키값 여 싱처리 값
포 상 공격 신 IRC채 에 참여 비pc에게 달 게 다.
⑤공격
공격 상 공격 A 비pc는 공격 수 스크립트,공격 달
스크립트,IRC 공격 스크립트 다운 드URL multitasking 공격 그 간 연결
스크립트 여 신 IRC채 에 참가 B,C,D,E,F 비pc들에게 달 다.
공격 B,C,D,E,F 비pc들 신 IRC채 에 G......X.....a....x 지
컴퓨 들에게 달 게 다.
값 IRC채 개 고 참여 게 지만 었고 IRC채
에 참여가 내에 상 참여 다는 response 지 지
에 시 뿐 결 에는 든 비pc는 공격 달 게 다.
⑥공격 신변 보
공격 당 당 시간 지 스는 지 루어진다.
시간 게 공격 비pc에 1~2 상 거쳐가게 고
결 그 통 진원지 찾 사실상 가능 다. 또 지 쓰 값
통신 그 수 늘어 공격진원지 단 가능
고 가능 여도 매우 workfactor가 다.
;MaxConnectionsPerServer number
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings]
"MaxConnectionsPerServer"=dword:00000028
;MaxConnectionsPer1_0Server number
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet
Settings]
"MaxConnectionsPer1_0Server"=dword:00000028
19
② CDOS 킷(공격 체계 그 ) 시 그 등
③ 보
보 activex차단 ,
다운 드 스 동시 차단
2) 공격 체계 그
IRC채 비PC간
통신 는 그 비PC는
IRC채 생 고 다 비PC
IRC채 에 근 다. 당 그
지스트리 통 도우
시 그 에 등 어 시스 시
시마다 동 게 다. PERL
여 그 다.
에 스 드가 등 어
다.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN]
[HKEY_CURRENT_USER_\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN]
[HKEY_CURRENT_USER_\SOFTWARE\MicrosoftWindows\CurrentVersion\Internet
Settings\Zones\0]
//IRC 컴포 트 사
use POE qw(Component::IRC);
// 채 5개 생 ( 채 )
for(my $i=1;$i<6;$i++)
{
my $tempch[0] = '#'
my $tempch[1] = 'rand(10000)'
@joinchannel = join('',@tempch)
}
// 채 5개 생 (생 채 )
for(my $i=1;$i<6;$i++)
{
my $tempch[0] = '#'
my $tempch[1] = 'rand(10000)'
20
3) CDOS 공격 그
IRC채 통 공격 수 게 공격
그 공격 지 여 우 HASH 드
다. 공격 가 사 에 킷값
당 공격 게 고 지 다 , 당
DROP 다. 그 에 는 공격
공격날짜 공격지 URL 고 스 링
게 다. 게 여 공격 시간 공격
시 여 공격 URL 근 시 게 다.
@createchannel = join('',@tempch)
}
print "Connected to ", $irc->server_name(), "\n";
// 생 5개 채 생
$irc->yield( creat => $_) for @channel;
// 생 5개 채 에 $irc->yield( join => $_ ) for @joinchannel;
/*스 러 & 복 다운 드*/
#include <stdio.h>
#include <stdlib.h>
#include <time.h>
#define MAXREPET 10 // 복다운 드수
#define MAXSTR 3
int main()
{
int j=0,i=0;
char* str[MAXSTR];
FILE* fd;
//------------------------------스 러-----------------------//
time_t curr_time,att_time;
struct tm curr_ts,att_ts;
21
4. 사 에 미 는
● 4-1. CDoS
CDOS는 에 지 다운 드 청 보내 과 키는 식 에 다운
드 가능 재 는 는 공격 가능 다는 가 립 다.
에 살펴보 다운 드 가능 공 는 것 만 CDOS에 취
는 것 다. 말 다운 드 공 지 는 는 CDOS공격
에 취 지 는 것 볼 수 나, 러 웹 는 실 재 어
다. 는 웹사 트에 어 다운 드 능 수 능 는 것
다수 웹사 트가 CDOS공격에 취 고 는 것 결 지 수 다.
다운 드가 가능 들 공 고 는 에 체 검
루어 는 사 비 상당 것 생각 다. 에
time(&curr_time);
curr_ts=*localtime(&curr_time);
att_ts.tm_year=109; //1900+
att_ts.tm_mon=11-1; //0 1월
att_ts.tm_mday=15;
att_ts.tm_hour=17; //0~23
att_ts.tm_min=23;
att_ts.tm_sec=0;
att_time=mktime(&att_ts) ;
while(1){
if(curr_time==att_time){break;}
if(curr_time>att_time){exit(1);}
time(&curr_time); }
//-------------------- 동 다운 드 ----------------------------//
fd=fopen("c:\\temp\\down.html","w+t");
str[0]="<HTML><HEAD><TITLE>Down</TITLE>";
str[1]="<META HTTP-EQUIV=\"REFRESH\" CONTENT=\"0;URL=다운 드URL경
\">";
str[2]="</HEAD><BODY></BODY></HTML>";
for(i=0;i<MAXSTR;i++){fputs(str[i],fd);}
fclose(fd);
//-------------------다운 드 복 ----------------------------//
while(j<MAXREPET){system("c:\\temp\\down.html");j++;}
//--------------------- 료& 리---------------------------//
system("del c:\\temp\\down.html");
exit(1);
return 0;}
22
는 업들 결과 리에 어 다운 드 공 스 , 근 가능/
공 가능 계 시키므 역 웹 보 상에 여 는 상
생 게 다.
● 4-2. P2P BOT 사 에 미 는
master -> slave 식 irc bot nertwork는 공격 내리는 마스 pc ip 또는 마
스 irc 채 차단 감염 bot 료 지 도 시 공격 단시키
는 것 가능 다. 그러나 pure p2p 식 irc bot network는 공격 도 나 bot
므 마스 ip 차단 는 것 원천 가능 다. 다시 말 bot 스스 공격
/수신 므 들 공격 지시키 는 감염 든 bot 료 만 다.
DoS공격 bot 보 에 보 개개 주 감염 루어지
므 , 개개 보 리에 심 울 다 bot 다수 보가 가능 게 다.
다수 개개 pc 리에 심 울 지 dDoS공격 계 수
에 없다. 또 P2P Bot 식 감염 pc 료 지 공격 단 수 없 므 1. 공
격 루어지는 차단 2. bot pc 강 수 3. / 등 통 bot pc
직 통보 등 통 만 공격 지시킬 수 다.
DDoS 공격 수 상 bot 보 었 므 , 1/2/3과 같
처 수 고 는 미 수만 상 P2P Bot 감염 것 볼
수 다. 감염 pc 료 Anti-Virus( 신) 폭 수 가가 상
다. 또 결 도 는 사 Anti-Virus 그 량 생산/ 포
수 므 Anti-Virus / 포 계 비 것 생각 다.
5. 참고 료
1) 보 보 개 : 큰 그림 그 주는 보 보
[IT COOKBOOK 시리 ( 빛미 어) 84]
빛미 어2008.06.28
2) 러스 도스 Virus DDOS : 그 짧 가 컴퓨 & 러스
상 샤 2009.10.01
3) 리 킹 Application Hacking ( ) : 민 고 보 연 원들 공개
는 리 킹 비
상민, 남 , 태훈 웅 감수 2009.06.25
4) 보보 동 리 웹사 트 KUCIS http://kucis.org/
5) - 보보 커 니티 http://cafe.naver.com/korsec
6) 철수 연 http://home.ahnlab.com
7)웹, 킹과 어 : 사 보 보 웹 개 가 드
경철 리 ( 지 리)2008.12.01
8)웹 킹 & 보 벽 가 드 : 웹 리 보 취 겨냥 공격과 어
[에 킹 보 시리 ]
드 스 타드, 마커스 도근, 경곤, 경, 역에 사2008.11.21
9) 비스 거 공격에 비 TCP/IP 스택 강 블 그
http://www.wssplex.net/TipnTech.aspx?Seq=127