비트를 달리는 항해일지

백도어 분석하면서 IRC 서버 세팅해서 테스트해봤습니다. 아직 사용법이 익숙하지 않아서 기본적인 명령어 밖에는 할 줄 모르겠네요.

블랙햇은 IRC 채널에서 대기하고 있습니다. 혹은 원하는 시간에 접속을 하면 감염된 좀비들이 기다리고 있겠죠. 테스트라서 좀비는 하나 뿐이었습니다.

"!morris tounge" 는 "내가 네 주인이다."라고 알리는 주문입니다. 처음에 접속해서 이 주문을 안 외치면 뇌가 없는 좀비들은 알아쳐먹지를 않더군요.

"!info" 라고 말하면, 좀비들은 자기가 있는 농장이 어떤 곳인지를 친절하게 알려줍니다. 좀비 주제에 말은 할 줄 압니다.

"!webfind64 ~ ~" 는 블랙햇이 가리킨 물건을 챙겨가라는 지시입니다. 위치를 정확하게 알려주지 않으면 역시 못 알아쳐먹습니다.

"!execute" 와 "!delete" 는 물건 한 번 써 보고, 먹어서 없애라는 지시입니다. 멋있는 것은, 물건을 쓰더라도 농장 주인은 그 사실을 모른다는 거죠. 하지만 Task Manager 같은 개 몇 마리 풀려 있으면 금방 들킵니다.

마지막으로, "!?quit" 는 볼 일 끝났으니 꺼지라는 지시입니다. 그러면 좀비는 땅 속으로 기어들어 갑니다. 그리고 나중에 농장이 새로 열리면 다시 기어 나오죠. 농장 서랍 속(HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun)에 열쇠(Winsock32driver)가 있거든요.

참고문헌

리버싱: 리버스 엔지니어링 비밀을 파헤치다, Eldad Eilam, 윤근용, 2009, 에이콘
IRC 서버 세팅 :: http://www.codeordie.org/wiki/?IrcServer

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

6l4ck3y3 #2. 지피지기, 백전불패/네트워크 Backdoor, Hackarmy, IRCBotnet, IRC봇넷, 백도어