악성 bot의 증상과 치료

악성 bot의 증상과 치료

====== 1.악성 bot 이란? ====

1. 악성 bot은 악성 IRC봇 종류의 하나이다. 원도우 시스템의 쉬운 비밀번호 설정, 원도우 취약점, 원도우 공유폴더,

   기타 다른 웜·바이러스가 사용하는 백도어 포트를 통하여 전파된다.

2. 악성 bot에 감염된 시스템은 악성 bot의 유포자가 지정한 특정 서버에 접속되며 악성 bot에 감염된 시스템은

    유포자의 명령에 따라 추가 감염을 위한 특정 IP 대역 공격, 사용자 정보 등을 유출한다.
　

3. 악성 bot의 동작

4. 악성 bot의 전파 방식

 ① 공유폴더

 원도우 운영체제에서 기본적으로 설정된 관리목적의 공유 폴더는 관리자가 원격지에서 시스템에 접근하는데

 필요한 것으로 시스템 설치 시 기본적으로 설정된다. 이 폴더들은 [드라이브]$ 식으로 표현되며 일반적으로

 C$, D$ 등의 폴더 명으로 되어 있다. 관리자 비밀번호가 설정되지 않았거나, 추측하기 쉬운 비밀번호로

 설정되었을 경우 원격지로부터 여러 가지 공격에 노출 될 수 있다. 이러한 취약성을 이용하여 악성 bot이 전파된다.

 ② 비밀번호 취약성

 원도우 시스템의 관리자 (Administrator)의 계정 비밀번호가 없거나 유추하기 쉬운 비밀번호를 사용할 경우

 악성 bot의 공격에 취약할 수 있다. 쉽게 유추가 가능한 사용자 계정(ID)와 비밀번호(Password)를 사용하는

 시스템을 찾기 위해 악성 bot에 감염된 시스템은 관리목적의 공유 IPC$ (TCP 445 포트)를 통해 자신을 전파시킨다.

 일반적으로 사용되는 계정(ID) 및 비밀번호(Password)는 아래와 같다

예) 계정

  - Admin
  - Administrador
  - Administrateur
  - Administrat
  - Administratoren
  - Administrator
  - Convidado
  - Coordinatore
  - Default
  - Guest
  - Inviter
  - Ospite
  - Owner
  - Standard
  - Verwalter
  - database
  - guest
  - user 등

예) 비밀번호

  - 없음 (엔터)
  - 000000
  - 00000000
  - 111111
  - 11111111
  - 121212
  - 123123
  - 12345
  - 123456
  - 1234567
  - 12345678
  - 123456789
  - 1234qwer
  - 123abc
  - 123asd
  - 123qwe
  - 54321
  - 654321
  - 88888888
  - Internet
  - Login
  - Password
  - alpha
  - curry
  - computer
  - database
  - enable
  - foobar
  - godblessyou
  - ihavenopass
  - mypass
  - oracle
  - owner
  - pass
  - passwd
  - password
  - patrick
  - pwd
  - root
  - secret
  - server
  - super
  - sybase
  - temp 등

③ 보안 취약성

  - WebDav 취약성 (MS03-007)

    http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx

  - UPnP 취약성 (MS01-059)

    http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx

  - RPC DCOM 취약성 (MS03-026)

    http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx

  - RPC DCOM2 취약성 (MS03-039)

    http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

  - RPC Locator 취약성 (MS03-001)

    http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx

  - MS SQL 취약성 (MS02-061)

    http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx

  - Workstation Service 취약성 (MS03-049)

    http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx

  - Messenger Service 취약성 (MS03-043)

    http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx

  - LSASS 취약성 (MS04-011)

    http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

  - MyDoom 웜·바이러스 (TCP/3127)

    http://www.krcert.or.kr

  - Beagle 웜·바이러스 (TCP/2745, TCP/2556, TCP/81)

    http://www.krcert.or.kr

====== 2.주요증상==========

1. 악성 bot은 원도우 폴더 나 원도우 시스템 폴더에 관련 파일을 복사한다.


  ­원도우 95/98/ME → C:WindowsSystem

  ­원도우 NT/2000 → C:WinNTSystem32

  ­원도우 XP → C:WindowsSystem32
　

2.  원도우 자동 시작 시 실행되기 위해 레지스트리에 자신을 추가한다.

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunService
　

3. 보안 프로그램 및 바이러스 백신 프로그램 종료를 통하여 악성 bot 이 원활하게 동작하기 위하여 보안 프로그램 및 바이러스 백신 프로그램의 프로세스를 강제 종료한다.


4. 바이러스 백신 프로그램이 새로 추가되는 바이러스 패턴에 대하여 업데이트를 하지 못하도록 hosts 파일을 변조한다.

  C:WinNTSystem32driversetchosts

  C:WindowsSystem32driversetchosts


    

5. 원도우 사용자의 운영체제 등록번호 (CD Key), Game CD Key, 개인 자료 등의 유출을 통해 개인 정보를 수집한다.
　

                        ※ 사용자의 키보드 입력을 저장하여 전송

                       ※ 운영체제 CD Key 및 Game CD Key 유출

6. 악성 bot 에 감염된 시스템은 추가적인 감염을 위하여 불필요한 네트워크 연결 시도를 한다.

7. 악성 bot에 감염된 시스템이 특정 사이트에 대하여 감염 추가적인 공격 및 서비스 공격으로 인하여 과도한 네트워크 트래픽이 유발된다.

8. 악성 bot에 감염된 시스템에서 특정 프로세서에 의한 CPU 100% 점유로 인하여 사용하는 시스템이 느려지는 경우가 발생한다.
　

 ※ CTRL+ALT+DEL 키를 동시에 눌러 프로세서 중 CPU를 많이 차지하는 프로세서를 강제 종료시킨 후 관련 파일을 삭제한다.

　

출처 : http://www.krcert.or.kr/event/bot/bot.htm

출처 : http://www.krcert.or.kr/event/bot/bot1.htm