본문 바로가기
정보보호 (Security)

DDoS Web기반 Tool 분석 (Black Energy)

by 날으는물고기 2009. 9. 9.

DDoS Web기반 Tool 분석 (Black Energy)

Black Energy에 대해 소개를 하자면 러시아에서 개발된 DDos Tool로써 Web 기반의 C&C Server와 bot Builder를 제공합니다.

[C&C Server 접속 화면]
[Builder 화면]

blackenergy ddos bot 1.9.2.rar의 파일구성을 보면

- db.sql
 : MySQL Backup file

- www폴더
 : C&C Server

- Black Energy 1.9.2.exe
 : Builder

- Readme.txt
 : Help file(러시아어라 해석불가) 

와 같이 되어있습니다.

 

동작이 되는지 실험하기 위해 아래와 같이 설정을 해 보았습니다.

*참고로 Builder로 생성된 bot은 vmware로 생성된 이미지에서 감염되지 않습니다.

(Host pc가 직접감염되야합니다....큭)

VM으로 Team을 생성하고 C&C Server와 Victim PC를 추가한다.

 

1. C&C Server

APM 설치 후 Home folder에 www폴더를 붙여넣고 login 관련 설정을 해준다(config.php)

DB Recovery(db.sql)를 한다.
*웹에 로그인하면 Command 설정을 할수 있는데 submit을 하게되면 DB에 저장하게되어 bot이 C&C Server의 DB에 명령어를 받아오게 된다.
*Command는 [flood 공격방법 공격목표] (Help를 누르면 모든 명령어를 볼수 있다)

2. Zombie PC

C&C Server의 stat.php에 접속을 해야 하므로
Host에 http://[C&C Server IP]/stat.php 로 설정을 하고 Build를 하고 감염을 시킨다.

3. Victim PC

패킷 모니터링 프로그램을 통해 공격을 확인한다.

[UDP Flooding Attack 확인]

추가로 일반적인 DDos bot의 소스를 같이 올립니다.(dkcs_ddos_bot_src.rar)

하나의 main.cpp와 27개의 헤더파일로 구성되어있습니다.

c로 쉽게 코딩되어 있어 분석해 보면 많은 도움이 됩니다.(감염 패턴, firewall process kill, p2p warm, outlook 등등)

 

-작성자-
누리지기(nurizigi)
출처 : http://cafe.naver.com/

728x90

댓글