반응형
이번 글에서는 Win32/Backdoor.Worm.IRCBot.23552의 서버의 구성은 어떻게 되어있고 악성코드와 어떤 방식으로 통신하는지 정리해보겠습니다.
IRCBot Server 정보
Win32/Backdoor.Worm.IRCBot.23552는 IRCBot이므로 해당 악성코드의 서버는 IRC Server 입니다. 서버는 채팅 채널을 생성해두고 악성코드가 감염된 PC와 통신하면서 해당 채널에 접속된 Bot화된 좀비 PC에 명령을 내립니다.
| 현재 서버 작동 여부 | 미작동 | |||
| 기본정보 | 서버 종류 | IRC Server | 도메인 | b.vspcord.com |
| IP 주소 | 211.233.91.10 | Port 번호 | 988 | |
| 추가정보 | 패스워드 | h4xg4ng | 채널명 | #lox |
IRCBot의 명령 실행 방법
감염 PC의 명령실행은 접속된 IRC Server의 채널 TOPIC 값을 전달받음으로써 실행됩니다.
해커(제작자)는 IRC Server의 채널에 접속하여 TOPIC 값을 $dec(!명령)의 형태로 입력하여 채널에 접속된 좀비 PC에게 명령을 전달한다.
ex:)/TOPIC #lox $dec(!s.start 10 5 3 -r -e)
IRCBot 명령어 구성
| 명령 포맷 | 설명 | ||
| open [파일명] | 파일을 백그라운드로 실행한다. | ||
| r3 | SVCWINSPOOL 서비스를 실행한다. | ||
| s.start [0-128] [1-60] [1-3] [-r | -s] [-e] |
취약 호스트 탐색 쓰레드를 실행한다. | ||
| 옵션 | 설명 | ||
| [0-128] | 쓰레드 갯수 | ||
| [1-60] | 탐색 텀 (초 단위) | ||
| [1-3] | 감염 IP 네트워크 대역 (A,B,C 클래스) | ||
| [-r] | 네트워크 호스트 대역을 x로 저장 | ||
| [-s] | 네트워크 호스트 대역을 0으로 저장 | ||
| [-e] | 네트워크 대역 계산에 사용할 IP 주소에 공인 IP 주소를 이용한다. (미설정시 사설 IP) | ||
| s.stop | 취약 호스트 탐색 쓰레드를 종료한다. | ||
| http [stop] | stop 인자가 전달되면 29A0CA1C 위치의 메모리 값을 0으로 세팅한다. (정확한 동작은 미확인) | ||
| wget [URL주소] [-n] | URL 주소로부터 파일을 내려받아 실행시킨다. | ||
| 옵션 | 설명 | ||
| [-n] | IRC Server 접속을 종료한다. | ||
반응형
'정보보호' 카테고리의 다른 글
| Win32.Trojan.Pearmor.416768: 트로이목마 악성코드 분석 (0) | 2024.03.11 |
|---|---|
| Win32/Backdoor.Worm.IRCBot.23552: 세부 코드 분석 내용 (0) | 2024.03.11 |
| Win32/Backdoor.Worm.IRCBot.23552: IRCBot 악성코드 동작 순서 (0) | 2024.03.11 |
| Win32/Backdoor.Worm.IRCBot.23552: IRCBot 악성코드 동작 과정 (0) | 2024.03.11 |
| W32.Stuxnet 공격 시나리오: 산업 제어 시스템의 보안 위협 분석 (0) | 2024.03.11 |
