'분석/바이러스 및 악성코드 샘플'에 해당되는 글 12건

  1. 2011.12.21 DOS공격 tool
  2. 2011.12.09 RAT 공개 툴
  3. 2011.07.22 어느 사이트에서 제공하는 바이러스 샘플 모음(토렌트)
  4. 2011.06.27 swf cve-2011-2110
  5. 2011.02.07 tdss 루트킷 파일(하악하악 겨우 구했군요!!!)

DOS공격 tool

분석/바이러스 및 악성코드 샘플
posted by 블르샤이닝 2011. 12. 21. 21:41
728x90
DOS란???DOS[Denial of Service]
 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함된다. 수단, 동기, 표적은 다양할 수 있지만, 보통 인터넷 사이트 또는 서비스의 기능을 일시적 또는 무기한으로 방해 또는 중단을 초래한다.
 이는 IAB의 정당한 인터넷 사용 정책에 반하는 것으로 여겨지며 거의 모든 인터넷 서비스 공급자의 허용할 수 있는 사용 정책도 위반한다. 또한 개별 국가의 법률에도 저촉된다. 


해당 툴은 두가지이며

Low_Orbit_Ion_Cannon
High_Orbit_Ion_Cannon 

------------------------------------------------------------------------
 이 툴에 대한 소개를 해보도록 하겠다.

1. High_Orbit_Ion_Cannon 


해당 화면의 툴 모습이며 매우 간단한 구조로 되어 있다. 두가지 스트립트 구성으로 선택할 수 있으며 ip 주소를 127.0.0.1 로 하여 패킷을 발생시켜 보았다.


대략 1초당 100개가 넘는 패킷의 요청이 나가는것을 확인 할 수 있었다. 만약 이러한 패킷을 100이상이 된다면 그 패킷의 요청은 실로 엄청날 것이다. 또한 부스터라는 기능이 존재하여 더욱더 빠르게 패킷이 나가게 되는 기능을 제공하게 되는데, 다음은 해당 기능에 대한 설명을 참조한 것이다.

booster -> This is a global variable that contains the contents of the current script (string)
Headers -> This is a global variable that is an array of strings, and will be used to form headers in requests sent to the target URL.  To add a header, simply do something like this:
Headers.Append("User-Agent: penis") or Headers.Append("User-Agent: penis x" + CStr(powerFactor)

lbIndex -> Index into list box (cant really be used outside of the program, useless to developers)
PostBuffer -> String buffer containig post paramets, ie PostBuffer = "lol=2&lolxd=5"
powerFactor -> Integer from 0-2, 0 being low, 1 being medium , 2 being high
totalbytessent -> a count of the number of bytes sent to the target already (presistent across each attack)
URL -> url to attack
UsePost -> boolean, true = uses post, otherwise itll use get

해당툴의 특징은 매우 간단하여 누구나 기본적인 공격이 가능하도록 구성되어있으며 
스크립트의 내용을 수정함으로써 패킷의 내용 구성을 바꾸어서 패킷의 내용이 다르게 패킷을 보내 공격을 할 수 있다는 것이다.
----------------------------------------------------------------------------------

Low_Orbit_Ion_Cannon

2번째로 소개할 툴은 같은 형제같은 기능의 툴로 아까 보다는 좀 더 가양한 옵션의 기능이 있지만 패킷의 전송은 다소 느린형태의 dos툴이될것이다. 해당 옵션을 보면
1. url주소와 ip 주소를 입력하는 형태
2. 툴의 시작과 정지
3. 공격옵션 (패킷에 들어갈 메시지형태와 타임아웃 플래그의 옵션, 포트번호와 발생할 쓰래드 갯수, 패킷의 발생되는 속도 등을 설정하게 된다. 



  해당 툴의 버젼은 최신버젼이 1.1.1.14이며 최신버젼은 irc 서버를 통한 명령이 가능하다.

두개의 툴은 각 특징을 가지고 있으며 모 해킹그룹에서 쓰인 공격용 툴인것으로 알려 져 있다. 

UDP Attack: To perform the UDP attack, select the method of attack as UDP. It has port 80 as the default option selected, but you can change this according to your need. Change the message string or leave it as the default.

TCP Attack: This method is similar to UDP attack. Select the type of attack as TCP to use this.

HTTP Attack: In this attack, the tool sends HTTP requests to the target server. A web application firewall can detect this type of attack easily.
 
How to use LOIC to perform a Dos attack: Just follow these simple steps to enact a DOS attack against a website (but do so at your own risk). 

Here’s the meaning of each field:

  • IDLE: It shows the number of threads idle. It should be zero for higher efficiency of the attack.
  • Connecting: This shows the number of threads that are trying to connect to the victim server.
  • Requesting: This shows the number of threads that are requesting some information from the victim server.
  • Downloading: This shows the number of threads that are initiating some download for some information from the server.
  • Downloaded: This number shows how many times data downloading has been initiated from victim server on which you are attacking.
  • Requested: This number shows how many times a data download has been requested from victim server.
  • Failed: This number shows how many times the server did not respond to the request. A larger number in this field means the server is going down. The success of the attack can be measured by the number shown in this field.
 이러한 공격툴은 그리 어려운 기능을 요구하는것은 아니다. 문제는 이러한 공격툴을 이용한 공격을 누구나 쉽게 이용할 수 있고 사용되어왔다는 것이다. 서비스 분산공격은 2010년 이슈가 되었던 공격이며 이러한 공격으로 기업의 서비스를 방해하고 금품을 요구한 상황이 많이 발생했었던 것이다. 


728x90
저작자표시 비영리 변경금지

'분석 > 바이러스 및 악성코드 샘플' 카테고리의 다른 글

Jack Ripper mbr  (0) 2012.02.27
Technical Analysis and Advanced Exploitation of Adobe Flash 0-Day (CVE-2011-0609)  (0) 2012.01.12
RAT 공개 툴  (0) 2011.12.09
어느 사이트에서 제공하는 바이러스 샘플 모음(토렌트)  (0) 2011.07.22
swf cve-2011-2110  (0) 2011.06.27

RAT 공개 툴

분석/바이러스 및 악성코드 샘플
posted by 블르샤이닝 2011. 12. 9. 12:03
728x90
안녕하세요 후후 곧 2011년이 끝나는군요.....이번년도는 거의 RAT의 풍년이라할만큼 해킹사고가 많았군요..줴길.... 이번에 RAT용 공개 툴을 구하게 되어서 테스트 해보니....잘만들고 환경도 좋더군요~_~(이런 능력자들) 그냥.........끄적여봅니다 ㅎㅎ 

(의외로 그림편집은 너무 힘듬;;;;ㅠㅠ)

다음과 같은 vm 환경에서 ip 주소로 127.0.0.1 로 하여서 봇을 만들고 c&c 서버를 확인하니 국적과 아이피 주소 포트 외에 캠 정보와 다양한 정보들이 나온다. 호오....깔끔해서 좋다..보기 ㅎㅎ


다음은 여러 기능들은 실행했을때의 모습이다. 여기서 지원하는 기능은 키로그 기록과 네트워크 패킷의 동작, 시스템 환경 정보, 네트워크 패킷의 포트 , 텔넷, 웹캠(이건 기능이 좀 특이하네) 뷰어 등을 지원하며 아래 그림은 내가 jo.exe파일을 생성하여 bot을 토대로 가상 테스트를 해본 모습이다. 캠의 유무를 확인하고 키로그에서는 cmd 창에서 입력한 값들이 보이고 텔넷은 접속확인이 되지 않는것을 확인하였다. 또한 프로세스 정보를 토대로 확인한다.



728x90
저작자표시 비영리 변경금지

'분석 > 바이러스 및 악성코드 샘플' 카테고리의 다른 글

Technical Analysis and Advanced Exploitation of Adobe Flash 0-Day (CVE-2011-0609)  (0) 2012.01.12
DOS공격 tool  (0) 2011.12.21
어느 사이트에서 제공하는 바이러스 샘플 모음(토렌트)  (0) 2011.07.22
swf cve-2011-2110  (0) 2011.06.27
tdss 루트킷 파일(하악하악 겨우 구했군요!!!)  (0) 2011.02.07

어느 사이트에서 제공하는 바이러스 샘플 모음(토렌트)

분석/바이러스 및 악성코드 샘플
posted by 블르샤이닝 2011. 7. 22. 16:18
728x90

뭐 나중에 필요하면 필요하겠찌...하고받아놨는데 나름 ㅋㅋ 이번년도에 나온거라....하지만 pc에 용량이없어서 토렌트로 간직하고있음 ㅎㅎ

 

Tuts 4 You - Collection 2011.7z

728x90
저작자표시 비영리 변경금지

'분석 > 바이러스 및 악성코드 샘플' 카테고리의 다른 글

Technical Analysis and Advanced Exploitation of Adobe Flash 0-Day (CVE-2011-0609)  (0) 2012.01.12
DOS공격 tool  (0) 2011.12.21
RAT 공개 툴  (0) 2011.12.09
swf cve-2011-2110  (0) 2011.06.27
tdss 루트킷 파일(하악하악 겨우 구했군요!!!)  (0) 2011.02.07

swf cve-2011-2110

2011. 6. 27. 19:14

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

tdss 루트킷 파일(하악하악 겨우 구했군요!!!)

2011. 2. 7. 17:14

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

티스토리툴바