botnet takeover

Reverse Code Engineering 2008. 11. 6. 23:19 posted by jz-
여러 머신에 악성코드를 감염 시켜, 악성코드 작성자가 원하는 짓을 하도록 명령 받아 행동하는 머신을 좀비PC라고 하죠?

이런 좀비PC를 군대처럼 모아서 집단을 형성한걸 봇넷이라고 합니다.

명령을 받아 ddos 공격을 하거나, 다른 멀웨어를 설치, 심지어 업데이트까지 하죠.

어떤 한국 업체(?)는 이걸로 네이버 실시간 검색어 순위를 조작하다 검거되기도 했습니다.



원래 봇넷은 중앙집권적 명령/업데이트를 실시했지만

그랬다간 일망타진 당하기도 쉬우므로 요새는 다른 형식으로 이루어져 있습니다.

하나의 좀비PC는 몇개의 ip, 포트만 알고 있을 뿐, 전체적인 봇넷 목록 정보는 어느 곳에도 저장되지 않습니다.

마치 스파이 조직 같죠^^

http://securitylabs.websense.com/content/Blogs/3225.aspx

antivirus detection 을 가장 효과적으로 피하고 있는 storm worm( a.k.a. tibs, or zhelatin )에 대한 간단한 연구내용입니다. (by websense)

분석 내용이 공개된건 아니지만, 봇넷의 업데이트 기능을 이용해서 이 봇넷 또는 다른 봇넷을 내 것으로 빼앗아 버릴 수 있을 겁니다.

완전히 분석만 하면 말이죠.

물론 봇넷의 백도어로 침투, 치료하고 나서 종료하는 '착한 웜'-_-;을 만들 수도 있겠죠

크크

재밌을 것 같지 않나요?

그래서 그런지, 요즘 봇넷클라이언트끼리의 전투 흔적이 보입니다.

전투 흔적이라기보다.. 봇넷클라이언트 주제에 다른 봇들을 잡는 코드를 갖고 있다는거죠-_-;;;;;;

마치 antivirus 처럼요.

아마 봇넷끼리 클라이언트를 뺏고 뺏기는 해프닝이 실제로 있었나봅니다.

열받은 누군가가 상대의 봇넷 클라이언트를 잡는 코드를 넣은거겠죠.