페스티

페스티는 루트킷이자 그 바탕 위에서 만들어진 봇넷이다.윈도 계열의 운영체제에서 작동한다.2009년^[1]^[2] 가을 페스티가 바이러스 백신 소프트웨어 개발과 판매에 종사하는 회사들의 시야에 들어온 것은 처음이다.이 시기에 봇넷 자체는 약 25.000대의 감염된 기계로 구성되었고, 스팸 메일 용량은 하루에 약 25억 개의 스팸 메일을 가지고 있는 것으로 추정되었다.^[3]^[4]^[5]페스티는 2011-2012년에 가장 큰 활동을 보여주었다.^[6]^[7]2012년 8월의 보다 최근의 추정에 따르면, 봇넷이 탐지된 100만 개의 IP가 스팸 메일을 보내는 총 금액의 4분의 1인 25만 개의 고유한 IP 주소에서 스팸을 보내고 있는 것으로 나타났다.^[8]봇넷 페스티의 주요 기능은 '분산서비스 거부'와 같은 사이버 공격의 스팸 발송 및 이행이다.^[9]

분포 방법

배포는 PPI(Pay-Per-Install)^[10]를 사용하여 수행된다.항바이러스제에 의한 탐지를 방지하기 위해 로더는 서명 기반 탐지를 복잡하게 하는 ciphered를^[10] 확장한다.

건축

우리가 연구한 ESET 바이러스 백신 회사로부터 수집한 봇넷의 구조에 관한 모든 데이터를 나타낸다.^[10]^[11]^[12]로더는 커널 모드 드라이버를 나타내는 봇을 다운로드하여 설정하는데, 이는 운영 체제와 함께 출시되는 드라이버 목록에 추가된다.하드 디스크 드라이브에는 명령 센터와의 통신 및 모듈 로드를 담당하는 봇의 일부만 저장된다.봇을 시작한 후 주기적으로 지휘센터에 구성, 모듈 로딩, 실행에 필요한 작업 등을 요청한다.

모듈

바이러스 백신 업체 ESET의 전문가들이 실시한 연구 결과 페스티는 최소 두 개의 모듈을 보유하고 있는 것으로 알려졌다.그 중 하나는 스팸 발송(BotSpam.dll)을, 또 다른 하나는 "분산 서비스 거부"(BotDoS.dll)와 같은 사이버 공격의 구현을 위한 것이다.「분산 서비스 거부」와 같은 사이버 공격의 실시 모듈은, TCP-flud, UDP-flud, DNS-flud, HTTP(s)-flud 등의 사이버 공격의 종류와, 또한, 사용한 프로토콜의 발행에 있어서 임의의 번호의 flood 패킷도 지원한다.

'카스퍼스키 랩' 리서치봇넷의 전문가는 모듈 수가 더 많지만, 이 모듈에서 모두 사용되는 것은 아니라는 결과를 도출했다.이들의 목록에는 TCP 및 UDP 프로토콜을 사용한 양말 서버 구현 모듈(BotSocks.dll), 사용자의 컴퓨터 원격 보기 및 제어 모듈(BotRemote.dll), 원격 컴퓨터의 디스크 및 원격 컴퓨터가 연결된 로컬 영역 네트워크(BotSearch.dll)에서 검색을 구현하는 모듈(BotSearch.dll) 등이 포함된다.현재 알려진 모든 브라우저(BotGrabber.dll)에 대한 rabber-modules.

모듈은 탐지가 거의 불가능한 하드 디스크 드라이브에 저장되지 않는다.

네트워크 상호 작용

봇은 클라이언트-서버 모델을 사용하며, 기능을 위해 봇넷 구성 수신, 모듈 로딩 및 명령센터에서의 작업과 그 실행에 대한 명령센터 통보에 사용되는 명령센터와의 네트워크 상호작용의 자체 프로토콜을 구현한다.데이터는 네트워크 트래픽의 콘텐츠 결정을 방해하는 인코딩된다.

탐지 및 디버깅에 대한 보호

설치 시 봇은 시스템 방화벽을 끄고, 로딩 및 작동에 필요한 커널 모드 드라이버와 시스템 레지스트리 키를 숨기고, 자체와 레지스트리 키가 삭제되지 않도록 보호한다.네트워크 조작은 바이러스 백신 소프트웨어의 네트워크 필터를 쉽게 우회할 수 있는 낮은 수준에서 발생한다.네트워크 필터의 사용을 관찰하여 설치를 방지한다.봇은 가상 머신 아래 론칭 여부 등을 점검해 긍정적인 결과가 나올 경우 활동을 중단한다.페스티는 주기적으로 디버거의 존재를 확인하고 중단점을 제거할 수 있다.

개발의 객체지향적 접근법

페스티는 역엔지니어링 방식으로 연구를 강하게 복잡하게 만드는 객체지향 소프트웨어 개발 기술을 활용해 만들어졌으며, 다른 운영체제에도 쉽게 포팅된 봇을 한다.

컨트롤

봇넷 페스티의 모든 제어는 웹 인터페이스를 통해 구현되며 브라우저를 통해 수행된다.

페스티 뒤에 서 있는 후

바이러스 백신 회사 ESET,[12]미국 언론인이자 블로거인 브라이언 Krebs,[13] 전문가에 따르면 정보 보안 분야의 뉴욕 타임즈紙앤드류 Kramer,[14]고 또한 소식통 러시아 정보 서비스에는 건축가와 botnet 축제의 개발자 편의 미국인 언론에 따르면 전문가입니다.나는 러시아 —해커 이고르 아르티모비치.

결론

결론적으로, 봇넷 페스티는 스팸을 보내고 "분산서비스 거부"와 같은 공격을 수행하는데 있어서 가장 강력한 봇넷 중 하나였다고 말할 수 있다.페스티 봇넷이 구축되는 원리는 바이러스 백신 소프트웨어와 네트워크 필터에 의한 봇 탐지를 방해하면서 시스템의 봇 수명을 최대한 늘린다.모듈의 메커니즘은 서로 다른 목적을 달성하기 위해 필요한 모듈의 생성과 로딩에 의해 어느 쪽이든 봇넷의 기능을 확장할 수 있게 하고, 개발의 객체지향적 접근방식은 역 엔지니어링의 방법의 사용으로 봇넷 연구를 복잡하게 하며, 다른 운영자에게 봇넷 포팅의 기회를 준다.ng 시스템은 구체적인 운영 체제 기능 및 봇의 남은 논리에 특정한 정확한 구분을 통해 제공된다.탐지 및 디버깅에 대한 강력한 대응 시스템은 페스티봇을 거의 보이지 않고 은밀하게 만든다.예비지휘소 바인딩 및 사용시스템은 지휘소 변경 후 봇넷에 대한 통제를 복원할 수 있는 기회를 제공한다.페스티는 악성 소프트웨어가 개발되는 과정에 극히 진지하게 접근한 비정상적인 사례다.^[15]

참고 항목

참조

^ Lewis, Daren (November 5, 2009). "Festi Botnet spins up to become one of the main spamming botnets". Symantec Connect.
^ Kaplan, Dan (November 6, 2009). "Festi botnet appears". SC Magazine.
^ Jackson Higgins, Kelly (November 6, 2009). "New Spamming Botnet On The Rise - Dark Reading". darkreading.
^ Wattanajantra, Asavin (November 6, 2009). "'Festi' growing to become spambot heavyweight". ITPRO.
^ "Botnet Festi Rising Tremendously". SPAMfighter. November 18, 2009.
^ Kirk, Jeremy (August 16, 2012). "Spamhaus Declares Grum Botnet Dead, but Festi Surges". PC World.
^ Kirk, Jeremy (August 17, 2012). "Spamhaus declares Grum botnet dead, but Festi surges". PC Advisor. Archived from the original on December 15, 2013. Retrieved December 4, 2013.
^ Saarinen, Juha (Aug 20, 2012). "Festi botnet cranks up spam volumes". ITNews.
^ "Festi botnet helps launch denial-of-service 'DDoS' attack". Stop Hackers. June 13, 2012.
^ ^a ^b ^c Matrosov, Aleksandr (May 11, 2012). "King of Spam: Festi botnet analysis". ESET.
^ Rodionov, Eugene (2011). "Festi botnet analysis and investigation" (PDF). ESET. Archived from the original (PDF) on 2013-12-15.
^ ^a ^b Matrosov, Aleksandr (November 12–14, 2012). "Festi Botnet Analysis & Investigation" (PDF). AVAR 2012. Archived from the original (PDF) on 2013-12-15.
^ Krebs, Brian (June 12, 2012). "Who Is the 'Festi' Botmaster?". Krebs On Security.
^ Kramer, Andrew (September 2, 2013). "Online Attack Leads to Peek Into Spam Den". The New York Times.
^ "Festi: malicious and incorporeal". Xakep Magazine. September 2012.

외부 링크

[Lewis-1] Lewis, Daren (November 5, 2009). "Festi Botnet spins up to become one of the main spamming botnets". Symantec Connect.

[Kaplan-2] Kaplan, Dan (November 6, 2009). "Festi botnet appears". SC Magazine.

[Higgins-3] Jackson Higgins, Kelly (November 6, 2009). "New Spamming Botnet On The Rise - Dark Reading". darkreading.

[Wattanajantra-4] Wattanajantra, Asavin (November 6, 2009). "'Festi' growing to become spambot heavyweight". ITPRO.

[SpamFighter-5] "Botnet Festi Rising Tremendously". SPAMfighter. November 18, 2009.

[Kirk-6] Kirk, Jeremy (August 16, 2012). "Spamhaus Declares Grum Botnet Dead, but Festi Surges". PC World.

[Kirk2-7] Kirk, Jeremy (August 17, 2012). "Spamhaus declares Grum botnet dead, but Festi surges". PC Advisor. Archived from the original on December 15, 2013. Retrieved December 4, 2013.

[Saarinen-8] Saarinen, Juha (Aug 20, 2012). "Festi botnet cranks up spam volumes". ITNews.

[Stop_Hackers-9] "Festi botnet helps launch denial-of-service 'DDoS' attack". Stop Hackers. June 13, 2012.

[Matrosov-10] Matrosov, Aleksandr (May 11, 2012). "King of Spam: Festi botnet analysis". ESET.

[Rodionov-11] Rodionov, Eugene (2011). "Festi botnet analysis and investigation" (PDF). ESET. Archived from the original (PDF) on 2013-12-15.

[Matrosov2-12] Matrosov, Aleksandr (November 12–14, 2012). "Festi Botnet Analysis & Investigation" (PDF). AVAR 2012. Archived from the original (PDF) on 2013-12-15.

[Krebs-13] Krebs, Brian (June 12, 2012). "Who Is the 'Festi' Botmaster?". Krebs On Security.

[Kramer-14] Kramer, Andrew (September 2, 2013). "Online Attack Leads to Peek Into Spam Den". The New York Times.

[Xakep-15] "Festi: malicious and incorporeal". Xakep Magazine. September 2012.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[15]

Search

페스티

네임스페이스

더

목차