악성 봇(Bot) 메모 정리

•  악성 Bot은 악성 IRC Bot 중에 하나로 유포자의 명령에 따라 특정 IP 대역을 공격하여 사용자의 정보를 유출한다. 

• 봇(Bot)이란 로봇(RoBot)의 준말로서 사용자나 다른 프로그램 또는 사람의 행동을 흉내내는 대리자로 동작하는 프로그램을 의미한다. 인터넷 상에서 보편적으로 존재하는 봇들은 웹사이트들에 주기적으로 방문하여 검색엔진의 색인을 위한 콘텐츠를 모아오는 일을 하는 스파이더. 크로울러라고도 불리는 프로그램들이 있다. 악성 봇들은 스파이더, 크롤러와 같은 유용한 봇들과 달리 해커 혹은 봇 유포자가 원격지에서 봇에 감염된 PC를 로봇처럼 자신이 마음대로 제어할 수 있게 만들어 해당 PC를 자신이 쓸 수 있게 하는 것이다. 실제로 이런 PC들을 봇화 시켰다.

• 서론 : 오늘날 악성코드는 빠른 속도로 진화하고 있다. 더불어 최근의 해킹은 단순 호기심 차원의 해킹이 아닌 금전적 이득을 취하기 위한 범죄적인 성향을 많이 띄고 있다. 공격자들은 예전과 달리 단순 해킹에 의한 자기만족에 그치지 않고, 해킹한 시스템들을 이용하여 불법적인 행위를 해주고 금전적인 이득을 얻고 있다. 이러한 행위를 가능하게 하는 최근의 공격 기법이 악성 Bot이다. 악성 Bot을 설치하게 되면 공격자는 수많은 컴퓨터들을 거느리고 자유자래로 제어할 수있게 된다. 악성 Bot 중에서도 악성 IRC Bot은 공격자들이 IRC(Internet Relay Chat)의 기능을 이용하여 해킹당한 시스템들을 자신들이 지속적으로 제어할 수 있도록 하는 공격 기법이다. 최근에 이러한 IRC의 특징을 이용해 메신저 상에서 Bot에 감염되도록 하여 개인들에게 피해를 입히는 사례가 늘고 있다.

 

 

• 악성 Bot의 한 종류 : shadow bot -> 윈도우 시스템의 쉬운 비밀번호 설정, 윈도우 취약점, 윈도우 공유 폴더, 기타 다른 웜 바이러스가 사용하는 백도어 포트를 통하여 전파된다.

 

• 악성 Bot 특징

- 자기 복제 기능을 갖는 웜 바이러스 특성을 지니고, 원격 로봇 처럼 명령자의 명령에 의해 원격 제어로 실행이 가능하며, 스팸 메일 발송, 분산 서비스 거부 공격(DDoS) 등에 악용되는 특성을 갖는 프로그램 또는 코드를 일컬음

 

• 악성 Bot 구성

Bot : 감염된 PC

숙주서버 : 감염된 PC를 제어하기 위한 명령, 제어를 위한 서버

BotNet : Bot에 감염된 PC, 숙주서버 등으로 구성되는 네트워크