본문 바로가기
정보보호 (Security)

DDoS Web기반 Tool 분석 (Black Energy)

by ·´″°³о♡ 날으는물고기 2009. 9. 9.

DDoS Web기반 Tool 분석 (Black Energy)

728x90

Black Energy에 대해 소개를 하자면 러시아에서 개발된 DDos Tool로써 Web 기반의 C&C Server와 bot Builder를 제공합니다.

[C&C Server 접속 화면]

 

[Builder 화면]



blackenergy ddos bot 1.9.2.rar의 파일구성을 보면

- db.sql
 : MySQL Backup file

- www폴더
 : C&C Server

- Black Energy 1.9.2.exe
 : Builder

- Readme.txt
 : Help file(러시아어라 해석불가) 

와 같이 되어있습니다.

 

동작이 되는지 실험하기 위해 아래와 같이 설정을 해 보았습니다.
 

*참고로 Builder로 생성된 bot은 vmware로 생성된 이미지에서 감염되지 않습니다.(Host pc가 직접감염되야합니다....큭)

VM으로 Team을 생성하고 C&C Server와 Victim PC를 추가한다.

 1. C&C Server

APM 설치 후 Home folder에 www폴더를 붙여넣고 login 관련 설정을 해준다(config.php)

DB Recovery(db.sql)를 한다.

*웹에 로그인하면 Command 설정을 할수 있는데 submit을 하게되면 DB에 저장하게되어 bot이 C&C Server의 DB에 명령어를 받아오게 된다.

*Command는 [flood 공격방법 공격목표] (Help를 누르면 모든 명령어를 볼수 있다)

 2. Zombie PC

 C&C Server의 stat.php에 접속을 해야 하므로

Host에 http://[C&C Server IP]/stat.php 로 설정을 하고 Build를 하고 감염을 시킨다.

 3. Victim PC

 패킷 모니터링 프로그램을 통해 공격을 확인한다.

                                                        [UDP Flooding Attack 확인]

추가로 일반적인 DDos bot의 소스를 같이 올립니다.(dkcs_ddos_bot_src.rar) 

하나의 main.cpp와 27개의 헤더파일로 구성되어있습니다.

c로 쉽게 코딩되어 있어 분석해 보면 많은 도움이 됩니다.(감염 패턴, firewall process kill, p2p warm, outlook 등등)

 

-작성자-
누리지기(nurizigi)
출처 : http://cafe.naver.com/

728x90

댓글4