좀비 네트워크 작업 과정

좀비 네트워크가 가장 먼저 필요로 하는 것은 하나 이상의 통신 수단을 사용하는 좀비 프로그램의 전파에 따라 점차적으로 형성되는 일정 규모의 제어 컴퓨터이다. 이 의사 소통 과정에서 다음과 같은 여러 가지 방법이 있습니다.

(1) 능동적인 공격 허점. 그 원리는 시스템의 취약점을 공격하여 액세스를 얻고 쉘룩에 bot 프로그램에 코드를 주입하여 공격당한 시스템을 좀비 호스트로 감염시키는 것이다. 가장 기본적인 감염 방식은 공격자가 수동으로 일련의 해커 도구와 스크립트를 사용하여 공격하고, 권한을 얻은 후 bot 프로그램 실행을 다운로드하는 것이다. 공격자는 또한 bot 과 웜 기술을 결합하여 bot 프로그램이 자동으로 전파되도록 합니다. 유명한 봇 샘플 AgoBot 은 Bot 프로그램의 자동 전파를 실현하였다.

(2) 메일 바이러스. 좀비 프로그램은 또한 대량의 메일 바이러스를 전송하여 스스로 전파한다. 일반적으로 메일 첨부 파일에 좀비 프로그램을 휴대하고 메시지 내용에 좀비 프로그램을 다운로드 및 실행하는 링크를 포함하고 있다. 일련의 사회공학 기술을 통해 수신자가 첨부 파일을 실행하거나 링크를 클릭하도록 유도하거나 메일 클라이언트의 취약점을 이용하여 자동으로 실행되도록 유도한다. 수신자의 호스트를 좀비 호스트로 감염시킵니다.

(3) 인스턴트 메시징 소프트웨어. 인스턴트 메신저 소프트웨어를 이용하여 친구 목록에 있는 친구에게 링크를 보내 좀비 프로그램을 실행하고 사회공학 기술을 통해 클릭을 유인해 MSN 섹시한 닭 (웜) 과 같은 감염을 일으킵니다. MSNLoveme) 은 2005 년 초에 폭발했다.

(4) 악성 사이트 스크립트. 공격자는 웹 서비스를 제공하는 웹 사이트의 HTML 페이지에 악성 스크립트를 바인딩하고 방문자가 해당 웹 사이트를 방문할 때 악성 스크립트를 실행하여 bot 프로그램을 호스트에 다운로드하고 자동으로 실행합니다.

⑤ 트로이 말. 유용한 소프트웨어로 위장하여 웹 사이트, FTP 서버 및 P2P 네트워크에서 사용할 수 있으며, 사용자가 다운로드하여 실행하도록 유인합니다.

위의 전파 수단에서 알 수 있듯이, 좀비 네트워크의 형성 과정에서 전파 방식 및 기능이 복잡한 웜, 바이러스 및 스파이웨어는 매우 유사합니다.

가입 단계에서 감염된 각 호스트는 자체 BOT 프로그램 폭발에 따라 좀비 네트워크에 가입한다. 가입 방식은 제어 방식과 통신 프로토콜에 따라 다르다. IRC 프로토콜 기반 좀비 네트워크에서 좀비 프로그램에 감염된 호스트는 지정된 서버와 채널에 로그인하여 로그인이 성공한 후 채널에서 컨트롤러의 악의적인 지시를 기다립니다. 그림 2 는 실제 좀비 네트워크에 새 좀비 프로그램을 지속적으로 추가하는 동작을 보여 줍니다.

제어 단계에서 공격자는 중앙 서버를 통해 사전 정의된 제어 명령을 전송하여 감염된 호스트가 DDos 공격 시작, 호스트 기밀 정보 도용, 업그레이드 맬웨어 업데이트 등의 악의적인 행동을 수행할 수 있도록 합니다. 그림 3 은 제어 단계에서 관찰된 인트라넷에 악성 프로그램을 전파하는 좀비 네트워크 동작을 보여 줍니다.