출처 : http://blog.hacknsecurity.com/entry/TOR-%EA%B8%B0%EB%B0%98%EC%9D%98-botnet-%EC%A6%9D%EA%B0%80
Tor프로토콜은 익명통신을 할 수 있는 시스템으로 Tor를 이용하면 패킷의 송신자를 알 수 없다. 그래서 해커들이 사이버 공격시 자신의 추적을 피하기 위해 사용하고 있다. 이번 6.25 사이버공격에서 공격자가 Tor를 사용해 공격한 것이 밝혀졌다.
Tor는 기존의 익명통신 시스템과 달리 사용자의 편의성에 초점을 맞추고 개발된 서킷 기반 저 지연 시간 익명통신 시스템이다. Tor는 TCP 프로토콜에 기반을 두어 간단한 프로그램 설치 과정을 통하여 익명통신을 할 수 있는 시스템으로, Tor를 이용하여 메시지를 보내면 전 세계에 있는 천여 개의 라우터 중 임의의 3개 라우터를 거쳐 패킷이 목적지에 도달한다. 이 때, 암호화 복호화 과정이 일어나게 되므로 공격자가 도중에 패킷을 획득하더라도 해당 패킷의 송신자를 알 수 없다.
Tor가 사용자의 편의성에 초점을 두고 개발된 만큼 Tor가 가지고 있는 지연 시간을 줄이면서 익명성을 유지하는 것이 중요한 이슈이다. 본 논문에서는 기존의 Tor 시스템에서 사용하는 서킷 생성 알고리즘을 개선하여, Tor 시스템의 성능을 향상시키는 방법을 제안한다. 이 방법은 클라이언트가 서킷을 선택 할 때, 디렉터리 오소리티에 서킷 정보를 전송함으로써 디렉터리 오소리티가 각 라우터를 선택한 클라이언트의 수를 참고하여 각 라우터의 현재 네트워크 대역폭을 예측한다. 이 정보를 통하여 클라이언트는 서킷을 생성할 때, 각 라우터의 현재 네트워크 상태를 반영하여 라우터를 선택할 수 있다. 그로인해 현재 네트워크 대역폭에 비해 지나치게 많은 부하가 걸리는 라우터의 부담을 줄일 수 있고, 지나친 부하가 걸린 라우터를 사용하는 것을 피함으로써 패킷 전송에 따르는 지연 시간도 줄일 수 있다. 이로 인해 Tor 시스템의 성능을 향상시킬 수 있다.
C&C 서버와 스텔스 통신을 위해 Tor 프로토콜을 사용하는 2개의 악성코드Win32/Atrax.A를 분석한 자료임
TOR 프로토콜 설명
-아주대학교 논문
000000009642_1377047725500_0.028208103561428777.pdf
TOR 이용한 BOT 분석
- http://blog.hacknsecurity.com/
'리버싱' 카테고리의 다른 글
| mfc 에서 #32770(Dialog)의 의미 (0) | 2014.01.20 |
|---|---|
| 스레드 패턴 만드는법 (0) | 2013.12.11 |
| vm 우회 (0) | 2013.07.02 |
| Packing, Anti-debugging의 개념 및 Reversing의 개념 이해 [IDT].pdf (0) | 2013.06.11 |
| 인젝션되어 동작하는 코드 분석시 (0) | 2013.06.11 |