[전달글] 악성코드 시장 상황 설명 - 부제: 돈으로 해결한다.

악성코드의 전파와 DDoS 공격에 관한 보안관련자의 의견입니다.

장기간 시장조사를 기반으로 쓴 것이고, 정확한 가격이랑 수치는 밝히지 않았지만, 개인적인 경험을 바탕으로 조사한 실제내용입니다.

저자: Peterpan

----------------------------------------------------------------------------------

해당 내용은 현재 공격에 관한 시장 상황과 시장을 구성하는 가장 밑바닥에서 돈이 어떻게 움직이는가에 대한 간략한 설명입니다.

본 내용은 존중어가 없으며 대화 설명 형태로 구술되어 있습니다.

지금 하고 싶은 이야기는 실질적인 보안 위협과 보이지 않는 보안 위협 머 그런거다...

그럼 그 공격은 먼가?

첫째는 언론에서 너무 많이 소개해줘서 울 엄마도 아는 DDoS이다.

본인 2001년인가 2002년에 세미나에서 DDoS 세션을 발표한적이 있다.

당시에는 여러 기술적인 문제와 여러상황으로 이정도로 개나 소나 가능한 공격이 될거라고는 생각 못했다. 하지만 시간이 지나면 기술도 바뀌고 트렌드도 바뀌는 법이다.

누구나 돈과 기초적인(그러니까 컴터 공학과 졸업생 기준이면 하루쯤 설명들으면 되는듯한)

기술적 이해(이해다 능력이 아니라)만 있다면 당장 플랜을 짜고 한달쯤 후면 당신도 DDoS 깡패로 변할수 있는 그런 시대다 이건 현실적인 플랜이다. 모든 세트를 네트를 통하면 구매가 가능하다. 엄청나지 않은가? 공부 학습이 아니라 구매다.

둘째는 우리 악성코드쪽 업무 분야분들께서 이를 가시는 악성코드 부분이다 머 분야는 많다.

원격 조정(RAT),웹사이트 악성코드 삽입 등등 이게 좀 애매모호한게 있지만 그냥 간단히 결론 내리면 전부다라고 감히 과언할 정도로 다 돈하고 연결되는거다. 가끔 왜 이걸 공격하는지 이해 못하는 사람들이 있다.

블로그에 애드센스를 달거나 주변에 웹사이트 마케팅하는 사람있으면 그냥 물어보라 트래픽이 머냐고?

결론은 하나다 '돈'

간단한 세상이다.. 일부 극우민족 주의자분들(이젠 좀 존경스러운 수준이다)빼놓고는 돈이라는 주제로 귀결되버린다.

간단한 프로세스를 설명한다.

DDoS가 돈이 된다더라 흐음 어디서 들은거야 하지만 맞다.ㅋㅋㅋ

DDoS를 쏘고 싶다.

아무것도 아는것도 기술도 툴도 없다.

자 여기서 테크트리가 갈라진다.

1. 공부한다... 오래 걸린다... 그래도 공부한다... 계속한다.

2. 잔대가리를 굴린다... 굴린다... 안나온다... 다시 굴린다... 안나온다.. 포기한다.

대부분은 여기서 포기한다.

그런데 꼭 여기서 잔대가리가 신의 경지에 이른 사람들이 나온다.

돈으로 해결하자... 님좀짱인듯

그러면 돈으로 해결 가능한걸 봐보자.

DDoS를 쏠려면 몇가지 요소가 필요하지만 결론적으로는 BOT 이것만 있으면 된다. 넘 심플한가?

그런데 어쩌겠나 그런걸 푸하하하하

자 봇이 필요하면 어떻게 하나? 봇을 깔아야지 그런데 남의 PC에 봇을 어떻게 깔까?

여기서 트리가 갈라진다.

1. 웹사이트에 브라우저 취약점 같은걸 이용해서 설치하는 악성코드를 박는다.

2. 멀쩡한 프로그램에 바인딩해서 배포한다.

3. 스팸 쏜다.

4. 역시.. 간단한 돈주고 깐다. 쿨럭

그럼 대충 트리 설명을 하겠다.

1. 웹사이트를 졸라 공격해서 브라우저같은거 공격하는 코드를 박아 넣는다.

취약한 브라우저가 이 페이지를 보면 봇이 휙 깔리는거다.. 우와! 간단한데라고 말하면 당신은 프로

이게 많은 방법인데 예전에는 궁금했다.. 저걸 할려면 일이 너무 많은거다. 통상 설치 성공율이 20프로 미만인데

저 작업을 할려면 엄청난 작업이 필요한거다. 간단하다 생각해봐라 일일 유니크 방문자가 1만정도 되는 사이트이면 2천대도 안깔리는데 유니크 방문자가 1만명이면 꽤 큰 사이트다. 이러면 악성코드에 빠르게 대응한다는 가정이 세워진다.

결론은 듯보잡 사이트까지 엄청나게 코드를 박는다. 조사하다가 보면 여긴 정말 하루에 열명도 안올거 같은데 코드가 박아진다.

어떻게 이런 작업을 하는걸까 라는 생각을 했다... 그리고 방법이 있었다.

일단 대상을 선정하지 않는다. 무조건 구글로 찾아서 하나만 뚫으면 그 웹호스팅 회사 서버 하나 아작나는거나..

요즘 웹호스팅 경쟁이 심해서 서버 하나에 100개는 우습게 넘는 세상이다.. 반론을 제기하고 싶다면 당신이 본 서버는 장사가 안되거나 프리미엄 서비스라고 본인 말하겠다.ㅋㅋㅋ

그럼 한번 들어가면 어떻게 되냐? 권한 설정에 문제가 있다면 웹쉘이나 조그마한 플그램 하나에서 그냥 모든 원하는 페이지에 원하는 코드가 자동으로 박혀버린다...-_- 일일히 작업하지 않는다... 시간이 돈이니까

그게 아니면 자동으로 SQL 공격하는 플그램을 이용한다... 이 넘은 사용자가 클릭 몇번하면 대상 선정부터 공격까지 다 마물하고 악성코드 삽입까지 한다... ㅋㅋㅋ 솔직히 카페에 태그넣는거만 할줄알아도 이건 몇번 눌러보면 이해된다.

자 그럼 졸라 길게 설명했는데 머가 나오나 다시 보자 결론은 웹사이트 공격인데 이게 잘못 걸리면 시간이 많이 든다.

그럼 머가 필요한가? 툴이다.. 방법은 인터넷에서 허접한 툴을 받아서 그냥 쓴다.. 효율이 엿같다 이건 사람이 하는것보다 조금 빠른경우가 많다. 아니면 다 할줄아는 사람이 키보드 치기 싫어서 쓰는 툴이다 결론 많이 알아야된다.

아니면 자기가 특정 코드에 맞춰서 만든다 이게 최고다 원하는것에 대한 개념과 능력만 있다면 그리고 몇번인가는 웜도 나왔다 짱인듯.. 하지만 공부해야겠죠?

그리고 돈 주고 산다-_- 자본주의 세상에서 돈으로 못사는게 없다더니.. 정말 다 있었다.

말 그대로 오토매틱 대량 SQL 인젝션 공격이 가능한 툴을 돈으로 사고 판다.

그냥 버튼만 잘 눌러주면 자기가 알아서 한다.

자 여기까지 했으면 듯보잡 사이트들에 악성코드를 박을수 있다. 듯보잡도 많이 모아 놓으면 트래픽이 꽤 되니까

그런데 여기에 무슨 코드를 삽입하나? 익스플로잇 어떻게 짤꺼야? 멀 어떻게 해야되는지 아나? 그러면 당신은 프로~!

그게 아니면 또 돈이다...

익스코드 팩을 판다.. 푸하하하

그냥 iframe이나 js하나 박으면 취약점 있으면 알아서 원하는 exe파일을 다운로드해서 실행해 준다.

기능도 많다-_- 브라우저별로 구별해서 공격,브라우저 버전별로 구별해서 익스플로잇을 노출해서 성공율을 높인다.

거기에 국가별로 구분해서 exe도 내려준다. 더 필요한거 있는가?

그런데 문제는 비싸다.. 대부분 수백달러에서 수천달러까지 한다. 그냥 몇메가 짜리 php플그램이 그렇다. 추가 모듈은 별도 요금-_-

물론 기술지원도 해주고 마이너 업뎃도 해준다. 하지만 대부분 메이저 업뎃은 추가 요금 발생하고 익스추가도 추가 요금

세상은 돈으로 움직이나 보다..

그럼 이제 깔아야지... 멀 까나? 깔게 없다. <-- ㅇㅆㅂ        

그럼? 멀 어쩌나 깔걸 구해야지...

자 당신은 먼가를 깔수 있는 모든 인프라를 구축했다..

그럼 말껄것인가?

다운로더? RAT? DDoS bot(요즘은 RAT랑 큰 차이 없다)

자 그럼 봇은 어디서 구하나?

그냥 다운로드 받아서 쓴다.. 그럼 무조건 백신에 걸린다. 당신이 받은 파일 그거 당신만 받아서 쓴거 아니다. 온갖 잡놈들이 다 받은거고

어디 구멍가계 백신회사 패턴에도 다 추가되어 있다. 하나 깔려고 개삽질했는데 결국 깔고 나서 백신에 걸린다니... ㅎㄷㄷ 이게 말이나 되는가?

이건 완전 비생산적인 행위인거다.

그럼?

방법은 3가지다 봇을 받아서 패킹을 하거나

백신에 안걸리는 개인버전 봇을 개발자한테 사거나

걸리는 버전을 백신에 안잡히게 해주는 일을 하는 애들한테 돈주고 부탁하는거다.

그럼 봇은 백신에 안잡힌다는거 그게 중요한데 저 3가지 방법 역시 다 돈이다.-_- ㅇㅆㅂ

현재 기본 기능 다운로더는 쉽게 구할수 있고 그냥 플밍조금해도 그냥 짠다... 기능이 없어서 에러날것도 없다.

물론 상용도 있다. 많은 기능을 가진 제품

방화벽 우회,다른 플그램이랑 바인딩, 특정 국가별 설치, 관리자 지정 설치, 통계 관리 인터페이스.. 등등등

아니면 RAT인데 공격자 입장에서는 나름 매력적이다.

설치 후에 그 PC는 절반은 사용자 PC이고 절반은 공겨자 PC인 셈이다.

웹캠 통제(이건 진짜 뵨태 기능이다. 왜 남의 집 캠을 보고 싶은건지 잘 몰겠다), 파일 통제,프로그램 설치, 특정 웹페이지 요청(광고 클릭이다.ㅋㅋ),리부팅,

등등등 별별 잡스러운 기능은 다 있다.

그리고 현재 가장 골치 아픈 DDoS 봇

이것의 핵심은 트래픽 생성이 아니겠는가?

상용제품 보면 온갖 잡스러운 종류의 패킷 생성기능을 가지고 있다. 원래는 그게 핵심이었는데.. 실제로 이것 역시 다 비슷하다.

DDoS에 다를게 머 얼마나 있겠는가? 그래서 트렌드가 2가지인데 요즘은 RAT기능도 가지고 있는걸 볼수있다. 어차피 한통속이라 어려운게 아니니까..

아니면 관리자 보호를 위한 웹을 이용한 통제 방식이라고 할수 있겠다

그럼 저걸 왜 사나?

앞에서 말했지만 백신이 생명이다. 본인이 여러해에 걸쳐서 봐본바로는 특별한 기능을 가진 특별한건 한 시즌에 한번 나온다.

트렌드가 바뀌는 시점에 가깝다는게 본인의 의견이다. 이건 다른 기회가 있으면 별도 작성 후 설명 토록하겠다.

그게 아니면 다 똑같다-_- 머가 틀리다는 말인가? 아 하나 틀린게 있다. 인터페이스 컬러-_- 쿨럭

기능도 UI도 어쩌면 그렇게 서로 벤치마크 했는지 다 천편일률적이다.

그게 아니면 다 비슷비슷하다.