Search Results for 'DDOS'


2 POSTS

  1. 2010.01.03 던킨 도너츠 공격 당하다 (2)
  2. 2009.11.27 kernel 레벨 악성 코드 (DDoS Agent)

던킨 도너츠 공격 당하다

Posted 2010.01.03 20:31 by beistlab
제목이 좀 낚시군요. ㅋㅋ 얼마 전에 CCC가 열렸습니다. 유럽에서 가장 큰 컨퍼런스이며 독일에서 매년 개최됩니다. 저도 작년엔 구경하러 다녀왔었었죠. 이번 CCC에서 DDoS(Distributed Denial of Service)와 관련된 주제가 있나 해서 좀 찾아봤는데 던킨 도너츠가 나오는 겁니다.

도대체 던킨 도너츠가 무슨 연관이 있길래 자꾸 CCC와 연관되어 검색이 되나 했더니 CCC에 참가했던 nerds들이 장난을 쳤군요. 던킨 도너츠 매장에 단체로 찾아가서 오프라인 DDoS를 때려버린 것입니다. 사진과 동영상입니다.

사진: http://tinyurl.com/yd8eedr
동영상: http://tinyurl.com/ykcdkh7

이런 누가 geek들 아니랄까봐 ㅋㅋ

'보안 관련 정보' 카테고리의 다른 글

IDA 5.6 Appcall 테스트 완료  (0) 2010.01.05
[Fuzzer] Sulley in f(x)  (13) 2010.01.04
던킨 도너츠 공격 당하다  (2) 2010.01.03
DPC of PaiMei  (0) 2010.01.03
New features of IDA 5.6  (0) 2010.01.01
IE zeroday == $60k  (0) 2009.12.20

Tag : 26c3, CCC, DDOS, dunkin donuts

  1. Mr.Pro

    | 2010.02.22 01:53 신고 | PERMALINK | EDIT | REPLY |

    Wow ㅋㅋ
    DDoS를 여기서도 볼수 있군요...ㅋㅋ
    뭐라고 하면서 돌진하는 건가요..
    끽끽도라 끽끽도라 이러는데...

  2. ㅁㄴㅇㄹ

    | 2010.02.25 17:28 신고 | PERMALINK | EDIT | REPLY |

    던킨도너츠라고하면서 이동하네요ㅎㅎ

Write your message and submit

kernel 레벨 악성 코드 (DDoS Agent)

Posted 2009.11.27 19:19 by beistlab
윈도우 Kernel 레벨에서 작동하는 악성 프로그램을 분석한 글입니다. 드라이버 이름은 nups.sys라고 하네요. 주 목적은 DDoS를 위한 Agent 역할이고, 좀비 PC들에 깔리게 되겠죠? 기본적인 기능은 User 레벨에서의 악성 코드와 크게 다를 것이 없습니다.

분석 글을 쓴 사람은 아마도 어디선가 이 샘플을 구해서 연구했을텐데, 그때까지 C&C 서버가 제대로 남아있을지 궁금했는데, 역시나 발견 당시에는 C&C 서버가 죽어버리는 바람에 확인을 못해봤다고 하네요. 결국 악성 코드를 아마도 거의 full로 리버싱을 한 듯 합니다. 이 악성 코드가 어떤 기능을 하는지 잘 써놨군요.

DDoS Driver 1/2: http://www.inreverse.net/?p=338
DDoS Driver 2/2: http://www.inreverse.net/?p=383

보통 DDoS 코드라고 하면 Web 전용이라고 떠올리기 쉬운데 (혹은 tcp packet 과부하 전용) nups.sys는 여러 프로토콜을 지원합니다. 지원하는 프로토콜들은 다음과 같습니다.

1. HTTP
2. TCP
3. UDP
4. TCPCON (TDI를 close하지 않는다는군요.)
5. ICMP

흥미로운 점은, DDoS 공격 시에, 패킷을 얼마나 많이 보내는지를 선택할 수 있는 옵션도 있습니다. 그냥 추측으로는 이 악성 코드는 러시아에서 만들지 않았을까 생각합니다. 뭐 해킹을 이용해서 금전적인 목적을 취하는 집단은 전 세계 어디에나 있지만 그중에 특히 러시아가 체계적으로 되어 있지 않을까 짐작입니다. 해킹 프로그램들은 가히 말할 수 없을 정도로 허접한 퀄리티를 갖는 것들이 많은데 이 정도 프로그램이면 악성 프로그램 중에서는 비교적 잘 짜여져 있다고 볼 수 있기 때문입니다.

그외의 기능으로는, 드라이버 업데이트 기능, 명령 실행 기능, 그리고 마지막으로 가장 일반적인 기능인 Download & Execute 기능입니다. 자체 삭제 메뉴는 없군요. ㅋㅋ 아무튼 악성 프로그램이긴 하지만, C&C 서버가 죽어버리거나 어떤 이벤트가 생겨서 잡았던 좀비 Agent를 놓쳐버리면 그 나쁜 집단에서는 얼마나 마음이 아플까요? ㅋㅋㅋㅋ 그래도 노력이 꽤 들어갔을텐데.. 피눈물을 흘릴 듯..


Tag : DDOS, ddos agent, kernel, malware, nups.sys, Reversing

Write your message and submit