Black Energy에 대해 소개를 하자면 러시아에서 개발된 DDos Tool로써 Web 기반의 C&C Server와 bot Builder를 제공합니다.
blackenergy ddos bot 1.9.2.rar의 파일구성을 보면
- db.sql
: MySQL Backup file
- www폴더
: C&C Server
- Black Energy 1.9.2.exe
: Builder
- Readme.txt
: Help file(러시아어라 해석불가)
와 같이 되어있습니다.
동작이 되는지 실험하기 위해 아래와 같이 설정을 해 보았습니다.
*참고로 Builder로 생성된 bot은 vmware로 생성된 이미지에서 감염되지 않습니다.
(Host pc가 직접감염되야합니다....큭)
VM으로 Team을 생성하고 C&C Server와 Victim PC를 추가한다.
1. C&C Server
APM 설치 후 Home folder에 www폴더를 붙여넣고 login 관련 설정을 해준다(config.php)
DB Recovery(db.sql)를 한다.
*웹에 로그인하면 Command 설정을 할수 있는데 submit을 하게되면 DB에 저장하게되어 bot이 C&C Server의 DB에 명령어를 받아오게 된다.
*Command는 [flood 공격방법 공격목표] (Help를 누르면 모든 명령어를 볼수 있다)
2. Zombie PC
C&C Server의 stat.php에 접속을 해야 하므로
Host에 http://[C&C Server IP]/stat.php 로 설정을 하고 Build를 하고 감염을 시킨다.
3. Victim PC
패킷 모니터링 프로그램을 통해 공격을 확인한다.
추가로 일반적인 DDos bot의 소스를 같이 올립니다.(dkcs_ddos_bot_src.rar)
하나의 main.cpp와 27개의 헤더파일로 구성되어있습니다.
c로 쉽게 코딩되어 있어 분석해 보면 많은 도움이 됩니다.(감염 패턴, firewall process kill, p2p warm, outlook 등등)
-작성자-
누리지기(nurizigi)
출처 : http://cafe.naver.com/
댓글