R&D/Botnet 5

봇넷 관련 표준화 동향

1) "Recommendations for the remediation of Bots in ISP Networks" - 저자: J. Livingood - IETF draft 업데이트: http://tools.ietf.org/html/draft-oreirdan-mody-bot-remediation-09 http://datatracker.ietf.org/doc/draft-oreirdan-mody-bot-remediation/ - 파일: - 내용: . 이 자료는 최종본은 아니고 Draft로 작성 중인 자료이며, BCP(Best Cuurent Practices) 문서이다. . Comcast 의 Jason Livingood 에 의해서 작성 중이다. . 사용자 몰래 악의적인 행동을 하는 소프트웨어를 봇으로 정의하며..

R&D/Botnet 2010.08.16

IRCBOT 샘플

IRC 봇넷 샘플을 받아서 가상머신에서 실행해 보았다. 샘플의 주소: http:/attacke.100free.com/nah.com - 참고: http://cgi.mtc.sri.com/popups/cc_servers/08-04-2010/1278693612_chatter.html 여기서 nah.com 파일을 다운로드해서 실행하고 해당 파일이 수행될 때 발생하는 인터넷 트래픽을 캡쳐했다. 파일을 실행하는 순간 도스창에서 아래와 같은 명령어가 실행된다. C:\Program Files\Ghanimx>rundll32.exe nope.dll,start 이후 트래픽은 아래와 같은 트래픽이 발생해서 TCP connection을 연결하고 있다. USERXP "" "" :xbeljmrv NICK|XPxbeljmrvFix P..

R&D/Botnet 2010.08.06

gumblar

gumblar 웜이 다시 퍼지나보다 이놈의 가장 위험한 점은 악성코드가 다운된 후 네트워크의 모든 투래픽을 도청한다는 것이다 트래픽도청하면 모든 개인정보 탈취는 식은 죽먹기다 On the heels of having learned that Gumblar infected three Japanese websites late last year, MesageLabs Intelligence has tracked Gumblar’s latest activity which has been heavy over the past few days, especially on 17 January when it represented 25 percent of all malicious blocks. Generally in Januar..

R&D/Botnet 2010.05.08