악성 Botnet 명령/제어 서버 사고 분석

악성 Botnet 명령/제어 서버 사고 분석

다운로드 ==>  악성 Botnet 명령및제어 서버 사고 분석.pdf

_____________________________________________________________________________________

 [자료: 한국정보보호진흥원(KISA)]

_____________________________________________________________________________________
목 차
1. 개요 ········································································································ 1
2. 피해 시스템 및 악성 Botnet 명령/제어 서버 정보 ···················· 1
3. 사고당시 주요 증상 ············································································ 1
4. 악성 Botnet 명령/제어 서버 및 악성 Bot 감염 시스템 ············ 1
5. 악성 Bot 탐지 방법 ·········································································· 15
6. 위험 요소 및 향후전망 ···································································· 17
7. 결론 ······································································································ 17
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 1 -
1. 개 요
o 최근에 악성 Bot에 의하여 많은 피해가 나타나고 있으며, 악성 Bot 배포 자는 더욱 정교한 기
술을 사용한 회피 및 은닉 기법을 사용하고 있다. 여러 가지 새로운 기법들이 나타나고 있으
나, 이번 사고 분석에서는 악성 Bot에 감염된 시스템과 악성 Botnet 명령/제어 서버간 통신
에 암호화(SSL) 통신을 이용하여 감염된 악성 Bot 시스템들을 조정하는 것이 발견되었다.
o 악성 Bot에 감염된 시스템과 Botnet 명령/제어 서버간 통신에 암호화(SSL) 통신을 하기에 일
반적인 Packet 모니터링을 통한 탐지가 힘들다. 또한 통신에 사용된 해당 포트 역시
TCP/443, TCP/6601 등을 사용하여 일반적으로 사용되는 IRC 포트를 사용하지 않았다.
o 이번에 분석되는 악성 Bot은 전형적인 Phatbot 계열로 기타 다른 RxBot, Agobot, ForBot 등
과는 몇 가지 차이가 있다. 이러한 차이점을 중심으로 분석 하고자 한다.
o 악성 Botnet 명령/제어 서버의 분석을 통하여 해당 악성 Botnet 감염된 IP목록을 확보하여 감
염된 시스템에서 악성 Bot 감염된 사용된 파일을 확보하여 분석을 하였다.
2. 피해 시스템 및 악성 Botnet 명령/제어 서버 정보
o 용도 : 웹 서버, 메일서버, DNS 서버
o 운영체제 : Linux
o DNS RR: ssl.majecticwin.com
※현재 해당 도메인은 Down 된 상태임
o Botnet 명령/제어 서버 : 국내 모 IDC
o 악성 Bot 감염 피시 : 국내 모 사립대학교
※실제 악성 Bot 감염 IP 숫자는 2,600 개 정도 됨
3. 사고 당시 주요 증상
o 악성 Bot 감염시스템 제어를 위하여 암호화 통신
o Rootkit 설치
o Unreal IRCD 설치
4. 악성 Botnet 명령/제어 서버 및 악성 Bot 감염 시스템 패해 분석
1) 동작원리
o 악성 Bot에 감염된 시스템이 Botnet 명령/제어 서버에 접속하여 동작하는 원리는 아래와 같
다.
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 2 -
2) 접속시도
o 악성 Bot에 감염된 시스템은 악성 Botnet 명령/제어 서버 접속 시에 암호화 통신을 사용하여
접속한다.
Internet
Explorer 로 우선 해당 서버에 TCP/443 포트를 이용하여 접속 시도
※ SSL 통신을 확인하기 위하여 https 프로토콜 사용
※ Botnet 명령/제어 서버는 TCP/443 포트를 Listening 하고 있음
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 3 -
3) Botnet 명령/제어 서버 접속
o IRC Client를 이용하여 Botnet 명령/제어 서버에 접속
※ Botnet 명령/제어 서버는 암호화 통신사용 (SSL-168 bit)
o 악성 Bot 유포자가 설정한 특정 Channel에 접속하여 추가적인 명령을 수행한다.
※ 악성 Bot에 감염된 시스템은 Botnet 명령/제어 서버 접속후 특정 Channel에 접속하여 공격
명령 수행 및 감염 시스템에 AdWare, SpyWare 등을 설치한다. 위의 명령은 특정 사이
트에서 AdWare/SpyWare 를 다운로드 후에 감염 시스템에 설치하도록 한다.
악성
Bot의 종류에 따라 감염 시스템에 실행이 되면 은 Botnet 명령/제어 서버에 접속하지
않고도 추가적인 감염을 위하여 명령을 수행하는 경우가 있으나, 최근에 나온 대부분의
악성 Bot 경우 우선 특정 Botnet 명령/제어 서버에 접속하여 Bot 유포자의 명령을 전달
받도록 설계되어 있다.
며칠간의
Botnet 명령/제어 시스템을 모니터링 결과 악성 Bot 유포자는 지속적으로 악성 Bot 감염
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 4 -
시스템을 확보하고자 추가적인 감염을 시도하는 흔적이 발견되었다.
※ 일반적으로 Bot 유포자는 Channle Topic 으로 악성 Bot 감염 시스템에 명령을 전달하게 되는데,
위의 명령은 TCP/135, TCP/139, TCP/445, TCP/1025에 대하여 공격을 시도하는 명령어
이다. 추가적인 사항은 뒤의 프로그램 분석에서 다시 언급 하겠다.
4) Botnet 명령/제어 서버 접속
o Botnet 명령/제어 서버의 TCP/443 및 기타 포트 연결 상태는 다음과 같다.
※ Botnet 명령/제어 서버의 TCP/443 포트 상태
o 해당 Botnet 명령/제어 서버의 설정은 다음과 같다.
설정파일에는
악성 Bot에 감염된 시스템이 접속 할 포트 번호, 방법, 운영자 패스워드 등이
포함되어 있다.
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 5 -
해당
Botnet 명령/제어 서버는 악성 Bot감염 시스템 외에 쉽게 탐지가 되지 않기 위하여 서버
접속시 서버 Password를 설정 해두었으며, TCP/443이외도 TCP/21, TCP/6000, TCP/6601
등의 포트로 연결을 허용 하고 있었다.
o Botnet 명령/제어 프로그램은 악성 Bot 유포자들이 현재 가장 많이 사용하는 Unreal IRCD를
사용 하였다.
버전
: UnrealIRCD 3.2.2.b
→ http://www.unrealircd.com
악성
Botnet에 사용되는 기타 명령/제어 프로그램 목록은 다음과 같다.
→ MySQL
→ Conference Room
→ BitBee
→ rircd
→ UltimateIRCD
→ NoLimit 등
※ 위에서 언급된 대부분의 프로그램은 공개용으로서, 악성 Bot 유포자들은 해당 프로그램의
Source Code를 변경하여 일부 기능 및 명령어 들을 악성 Bot 유포자만이 사용할 수 있도
록 변경하여 사용한다.
※ Botnet 명령/제어 서버에서 사용된 프로그램 목록
o 악성 Bot 유포자는 자신의 악성 Botnet 명령/제어 서버에 특정 IP 대역 또는 특정 Domain
대역에서 접속을 하지 못하도록 설정을 하여 두었다.
위와
같은 이유는 악성 Bot 유포자가 자신의 악성 Botnet 명령/제어 서버가 탐지 되더라도
자신의 Botnet 명령/제어서버를 보호하기 위함으로 보인다.
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 6 -
아울러
이번에 탐지된 악성 Botnet 명령/제어 서버 운영자(악성 Bot 유포자)는 자신이 악성
Bot을 유포할 때 어떠한 Network 대역을 피하여야 되고, 어느 Network 대역에 대하여
스캐닝 공격을 하여야하는지 정확히 알고 있는 것으로 파악된다.
※ 악성 Botnet 명령/제어 서버의 Kline 설정 파일 일부 이다.
⇒ Kline : 특정 IP 또는 특정 도메인에서의 IRC 접속을 자동으로 차단
5) Bot 감염 시스템 분석
o 사고 조사 당시 악성 Botnet 명령/제어 서버에 악성 Bot에 감염된 시스템의 숫자는 약 600여
개의 시스템이 접속되어 있었다. 이중에서 국내 IP를 추출하여 실제 악성 Bot Binary 파일을
추출하였다.
o 최초 사고 조사 당시에는 악성 Bot에 감염된 시스템이 600여개 이었으나, Botnet 명령/제어
서버를 Shutdown 할 때는 악성 Bot에 감염된 시스템이 약 2,600여대 였다.
파일명 크기 MD5SUM 비고
lsass32.exe 255,488 cd815ded9b29e9230d33c8ba5c032fdc
o 압축 기법
대부분의
웜․바이러스 및 악성 Bot 감염 프로그램은 실행 압축 프로그램 방법을 사용하여
전파를 빠르게 하기 위하여 프로그램 크기를 줄이며 또한 바이러스 분석 및 보안전문가들이
해당 악성 프로그램 분석을 어렵게 하기 위하여 이러한 실행 압축 기법을 주로 사용한다.
이와
같은 실행 압축 기법은 매우 다양하여 일부 실행압축의 경우 실행압축 해제가 불가능
한 경우도 많다.
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 7 -
<PEiD를 이용한 파일 정보 보기>
해당
악성 Bot 프로그램에 사용된 실행 압축 프로그램은 최근 악성 코드에서 많이 사용되고
있는 Morphine 으로서 실행 압축 해제가 불가능 하다.
※ 악성 프로그램 제작자들이 Morphine을 사용하는 이유는 자신이 제작한 악성 프로그램이 바
이러스 백신에 의하여 탐지가 되면은, 탐지가 되지 않는 악성 프로그램을 다시 제작을 하여
야 하나 Morphine을 사용할 경우 기존의 탐지된 악성 프로그램을 다시 Morphine을 실행압축 할
경우 바이러스 백신 프로그램에 탐지가 되는 않는 장점 때문에 많이 사용이 되고 있다.
실제
백신프로그램에 의하여 탐지된 프로그램을 가지고 Morphine을 이용하여 재 실행압축후
백신프로그램을 검사를 수행하였으나, 탐지가 되지 않았다.
o 파일 설치 위치
해당
악성 Bot 프로그램에 감염된 시스템은 Windows XP Home 운영체제 이며, Bot 프로그
램은 아래 위치에 설치되어 있다.
C:
windowssystem32lsass32.exe
o 자동 실행 방법
Registry
변경을 통하여 시스템 시작시 자동으로 실행되도록 설정 되어있다.
※ 악성 Bot 감염 시스템은 3가지의 악성 Bot에 감염된 상태이었음
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 8 -
o 악성 Botnet 명령/제어 서버 접속 화면
※ TCP/443 포트를 이용하여 접속
o Botnet 명령/제어 서버 접속후 명령 수행 방법
Botnet
명령/제어 서버의 특정 Channle의 Topic에는 scan.startall 이라고 되어 있으며, 악성
Bot 감염 시스템은 해당 명령을 수행한다.
명령
수행 화면
※ Botnet 명령/제어 서버로부터 전달 받은 명령어 (scan.startall)를 수행하는 화면으로서,
TCP/135, TCP/139, TCP/445, TCP/1025 등에 대하여 임의의 IP 대역에 공격 시도 한다.
위와
같이 특정 포트에 대하여 Scanning 공격을 시도하는 이유는 원도우 운영체제가 가지고
있는 취약점을 이용하여 보다 많은 악성 Bot 전파를 위함이다
.
악성
Bot 전파에 사용되는 주요 취약점 이용 포트는 다음과 같다.
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 9 -
포트 관련 취약점 및 Bot 포트 관련 취약점 및 Bot
80 WebDAV (MS03-007) 2556 Beagle, Beagle2
135 DCOM, DCOM2 (MS03-026, MS03-039) 2745 Beagle, Beagle2
139 NetBIOS Brute force login attempts 3127 MyDoom.A
445 LSASS (MS03-026,MS03-039, MS03-049 MS04-011) 3140 Optix Backdoor
901 NetDevil 3176 MyDoom.AB 등
903 NetDevil2 5000 UPNP (MS01-059)
1023 Sasser Backdoor 5554 Sasser ftpd Backdoor
1025 DCOM (MS03-026) 6129 Dameware
1080 MyDoom.F 9898 Dabber Backdoor
1234 SubSeven 12345 SubSeven
1433 MSSQL Login Brute force 17300 Kuang2
※ 이러한 주요 취약점 포트는 계속 증가 할 것으로 예상된다.
Ex)
악성 Bot 명령/제어 서버의 의한 명령 전달
※ 위의 예제는 DCOM 취약점을 이용하여 TCP/135 포트에 대하여 Thread 400개를 만들어서
5초 간격으로 B Class Network 대역에 대하여 스캐닝을 하라는 명령이다.
※ 위와 같은 방법으로 악성 Bot 유포자는 Botnet 명령/제어 서버를 이용하여 악성 Bot 감염
시스템에 명령을 전달한다.
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 10 -
o Scanning 명령어 부분 Disassembling 을 통한 분석
악성
Bot명령어중 Scanning 부분은 많은 명령어로 이루어져 있으나, 분석에는 Channel Topic
부분을 설명하고자 한다.
※ 일반적으로 위와 같은 scanning 종류 (scan.startall) 는 특정 취약점을 이용한 scanning 대
신에 몇몇 특정 scanning 을 동시에 수행하도록 설계되어져 있다.
※ 최근의 대부분의 악성 Bot 또는 악성 프로그램은 백신 프로그램 개발자 및 보안 전문가들의
분석을 어렵게 하기 위하여 Disassembling 을 어렵게 하는 기능들이 추가 되고 있다. 즉
현제 Disassembling에 많이 사용되는 프로그램 (SoftICE 및 OllyDbg)가 탐지가 되면 은 즉
각적인 종료를 한다.
⇒ 악성 Bot 소스코드의 Debugger 탐지 부분
Phatbot
소스코드에는 위의 명령어 부분을 아래와 같이 되어져 있으며, 이러한 부분은 새로운
취약점이 공개될 때 마다 Plug-In 기능과 같이 계속 추가되고 있다.
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 11 -
o 악성 Bot에 감염된 시스템은 감염시스템의 네트워크 속도 테스트를 위하여 특정 사이트에
접속을 시도하는 것을 확인하였다.
※ 일부 악성 Bot의 경우 감염 시스템의 Network 속도 확인을 위하여 특정 사이트에 대하여
POST 명령를 통한 속도 테스트를 시행한다.
Debugger을
통한 특정 site 속도 테스트 확인 부분
※ 25개의 특정 사이트에 대하여 속도 테스트 수행
※ 위와 같은 속도 테스트를 시행하는 목적은 감염된 Bot 시스템의 네트워크 속도가 얼마나
좋은지 검사를 위함
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 12 -
※ 각 대륙별 (미국, 유럽, 아시아) 로 http post 방법을 통한 속도 테스트 실시
대륙별
속도 테스트 사이트 목록
지역 사이트
ASIA
www.d1asia.com
www.lib.nthu.edu.tw
www.nifty.com
www.st.lib.keio.ac.jp
yahoo.co.jp
EU
de.yahoo.com
verio.fr
www.1und1.de
www.belwue.de
www.schlund.net
www.switch.ch
www.utwente.nl
US
nitro.ucsc.edu
www.above.net
www.brust.net
www.cogentco.com
www.level3.com
www.nocster.com
www.standford.edu
www.rit.edu
www.verio.com
www.xo.net
ryan1918
www.ryan1918.com
www.ryan1918.org
www.ryan1918.net
o 악성 Bot의 암호화 (SSL) 통신 포함
악성
Bot 유포자는 자신의 악성 Bot이 Botnet 명령/제어 서버와 통신시에 네트워크 모니터링
을 통하여 쉽게 탐지가 되지 않게 하기 위하여 악성 Bot 프로그램 제작시 암호화 통신 부분
을 삽입하였다.
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 13 -
이와
같은 암호화(SSL)를 이용하는 경우는 예전에는 볼 수 없었던 방법으로 최근에 급증하는
추세이다. 악성 Bot 유포자는 최근 자신이 만들어 놓은 악성 Botnet 명령/제어 서버가 네트
워크 모니터링을 통해서 손쉽게 탐지가 되는 것을 방지하기 위하여 암호화를 사용하였으며,
이러한 방법은 계속 증가 할 것으로 예상되며, 악성 Botnet 명령/제어 서버의 탐지를 더욱
어렵게 할 것이라 예상된다.
악성
Bot 실행파일에 암호화 포함 부분
암호화(
SSL) 통신에 대하여 네트워크 모니터링을 통하여 Capture하였으나, 암호화로 인하여
Decoding이 불가하다.
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 14 -
※ 실제 분석 시에 사용된 악성 Botnet의 DNS RR에는 majestic이 포함되어 있다.
※ 위와 같이 SSL 암호화 통신을 capture하기 위해서는 중간에서 가로채는 방법으로 sniffing이
가능하다.
o 바이러스 백신 프로그램 업데이트가 되지 않도록 악성 Bot 감염 시스템의 host 파일을 변
경한다.
※ 주요 바이러스 백신 프로그램 주소에 대하여 Local Host 주소로 설정을 한다. 위와 같이
설정을 하는 이유는 설치된 바이러스 백신 프로그램이 최신 패턴을 유지하는 것을 방지
하기 위함이다.
o 최근에 발견되는 대부분의 악성 Bot은 가상 컴퓨터(VMWare)에서는 동작을 하지 않는 경우가
종종 발견이 되었는데, 이번에 발견된 악성 Bot 또한 VMWare 에서는 작동을 하지 않았
다.
이러한
현상의 증가는 많은 Honeypot 들이 VMWare를 사용을 하고 있으며, 또한 바이러스
백신 제작자 및 보안 전문가들이 악성 Bot 분석을 위하여 VMWare를 많이 사용을 하고 있
기 때문에 악성 Bot 유포자가 자신이 제작한 악성 Bot이 VMWare에서 동작을 하지 않음으
로서 샘플 분석을 어렵게 하기 위함으로 보인다.
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 15 -
※ 위의 코드는 일부 공개 또는 비공개로 획득한 Phatbot 소스코드의 VMWare 탐지 부분
이다.
5. 악성 Bot 탐지 방법
o 악성 Bot 감염 시스템 및 악성 Botnet 명령/제어 서버를 탐지하기 위해서는 침입탐지 시스템
또는 네트워크 Packet을 모니터링 할 수 있는 장비 또는 소프트웨어로 탐지가 가능하다.
o 악성 Bot을 탐지하는 방법은 많이 있지만 이번 보고서에서는 공개용 침입탐지 시스템중 하나인
Snort를 이용한 탐지 방법에 대해서 설명하고자 한다.
o 일반적으로 악성 Bot 명령/제어 서버가 주로 사용하는 포트는 다음과 같다.
포트번호 포트번호 포트번호 포트번호 포트번호 포트번호
2125 5001 6666 7000 8029 9998
3267 5454 6667 7001 8249 30108
4141 5555 6668 7029 8891 31031
4762 5662 6669 8080 9136 65535
위의
포트들은 그동안 악성 Botnet 명령/제어 서버를 탐지 하면서 주로 악성 Botnet 명령/제어
서버들이 많이 사용하는 포트들이다.
주) 최근에는 이러한 포트 보다는 불특정 한 포트들을 많이 사용하고 있으며 단 위의 포트는
일반적으로 많이 사용되는 서비스 포트들이다.
번호 탐지 룰
1
alert tcp $EXTERNAL_NET 6667 -> $HOME_NET any (msg:"BOTNET advscan
detected"; flags: A+; content: "advscan"; nocase; classtype:not-suspicious; sid:10001;
rev:2;)
2
alert tcp $EXTERNAL_NET 6667 -> $HOME_NET any (msg:"BOTNET advscan
detected"; flags: A+; content: "adv.scan" ; nocase; classtype:not-suspicious; sid:10002;
rev:2;)
3
alert tcp $EXTERNAL_NET !80 -> $HOME_NET any (msg:"BOTNET [DONWLOAD]
detected"; flags: A+; content: "[DOWNLOAD]"; classtype:not-suspicious; sid:10003;
rev:2;)
4
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"BOTNET [SCAN] detected";
flags: A+; content: "[SCAN]"
; classtype:not-suspicious; sid:10004; rev:2;)
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 16 -
번호 탐지 룰
5
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"BOTNET [TFTP] detected";
flags: A+; content: "[TFTP]"; classtype:not-suspicious; sid:10005; rev:2;)
6
alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"IRC JOIN detected"; flags:
A+; content: "JOIN #"; class type:not-suspicious; sid:10006; rev:2;)
7
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"IRC UNREAL server
detected"; flags: A+; content: "version Unreal"; nocase; classtype:not-suspicious;
sid:10007; rev:2;)
8
alert tcp $EXTERNAL_NET any -> $HOME_NET any ( content: " PRIVMSG ";
content: ":.login"; nocase; msg: "Possible drone command detected.";
classtype:misc-activity;)
9
alert tcp $EXTERNAL_NET any -> $HOME_NET any ( content: " PRIVMSG "; content:
":.udp"; msg: "BOTNET .udp at tack detected"; classtype:misc-activity;)
10
alert tcp $EXTERNAL_NET any -> $HOME_NET any ( content: " PRIVMSG "; content:
":.syn"; msg: "BOTNET .syn at tack detected"; classtype:misc-activity;)
11
alert tcp $EXTERNAL_NET !6667 -> $HOME_NET any (msg:"BOTNET advscan
detected on NON-STANDARD port"; flags: A+; content: "advscan "; nocase;
classtype:not-suspicious; sid:10008; rev:2;)
12
alert tcp $EXTERNAL_NET !6667 -> $HOME_NET any (msg:"BOTNET advscan
detected on NON-STANDARD port"; flags: A+; content: "adv.scan "; nocase;
classtype:not-suspicious; sid:10009; rev:2;)
13
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Webcam enabled BOTNET
[CAPTURE] detected"; flags: A+; content: "[CAPTURE]:"; classtype:not-suspicious;
sid:10010; rev:2;)
14
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Keylogger enabled BOTNET
[KEYLOG] detected"; flags: A+; c ontent: "[KEYLOG]:"; classtype:not-suspicious;
sid:10011; rev:2;
15
alert tcp any any -> any any (msg:"BOT - agobot/rbot USER command";
flow:to_server,established; content:"USER "; offset:0; nocase; content:" 0 0
|3a|"; within:20; dsize:<40; flowbits:set,agobot.user; classtype:misc-activity;
sid:1000220; rev:1;)
16
alert tcp any any -> any any (msg:"BOT - agobot/rbot NICK command";
flow:to_server,established; content:"NICK "; offset:0; nocase; dsize:<25;
flowbits:isset,agobot.user; flowbits:set,agobot.nick; classtype:misc-activity;
sid:1000221; rev:1;)
17
alert tcp any any -> any any (msg:"BOT - agobot/rbot JOIN command";
flow:to_server,established; content:"JOIN "; offset:0; nocase; dsize:<45;
flowbits:isset,agobot.nick; classtype:misc-activity; sid:1000222; rev:1;)
18
alert tcp any any -> any any (msg:"BOT - agobot/rbot C&C channel topic";
flow:to_client,established; content:"|3a|"; offset:0; content:"|20|332|20|"; within:50;
content:"|20 23|"; within:20; content:"|20 3a|";within:40; nocase; dsize:<256;
flowbits:isset,agobot.nick; classtype:misc-activity; sid:1000223; rev:1;)
o 위에서 언급된 Snort 탐지 룰을 가지고 다양한 형태의 악성 Bot 탐지 룰을 생성 할 수 있다.
KrCERT-IN-2005-13 http://www.krcert.or.kr
악성 Botnet 명령/제어 서버 사고 분석 cert@krcert.or.kr
_____________________________________________________________________________________
- 17 -
6. 위험 요소 및 향후전망
o 악성 Bot 트래픽 탐지를 어렵게 하기위하여 암호화 통신과 같은 방법이 계속 증가를 할 것이
다.
o 악성 Botnet 명령/제어 서버의 차단에 대한 악성 Bot 유포자 악성 Botnet 명령/제어 서버의
Backup 방법 다양화 증가 되고 있다.
o 악성 Bot을 이용한 AdWare, SpyWare 및 CriminalWare 등의 설치 증가가 되고 있다.
o 악성 Bot은 현재 매우 다양한 형태로 진화를 하고 있으며 사용 목적 또한 매우 다양한 형태로
발전을 할 것으로 예상된다.
7. 결론
o 이번 악성 Botnet 명령/제어 서버 조사에서 보듯이 악성 Bot 유포자들은 Bot 제어 및 유포를
위하여 보다 지능적인 방법을 사용하고 있다.
o 최근에 많이 증가하고 있는 AdWare 및 SpyWare 또한 악성 Bot을 이용하여 많이 증가 하고
있으며, 이것은 악성Bot 유포자들이 단순한 해킹이 아닌 돈벌이를 목적으로 하며 조직적으로
이러한 해킹을 시도 하는 것으로 판단된다.
o 악성 Bot의 증가를 막기 위해서는 국내․외 통신사업자(ISP), 백신업체, 보안전문가등이 협력이
요구되고 또한 반드시 필요하다.
o 또한 악성 Bot에 대한 피해를 막기 위해서는 초고속 인터넷 사용자들의 보안의식 수준의 증가
와 자신이 사용하는 PC에 대한 보안 패치 적용과 더불어 외부의 불법적인 침입시도에 대하여
방어를 할 수 있어야 한다.