3.3 디도스(DDoS) 악성코드 완벽분석보고서!!!

3.3 디도스 악성코드 공격이 있었습니다. 국내 백신업계에 발빠른 대처와 정부부처의 공조로 인해 피해를 최소화하고 있는 상황입니다. 이스트소프트 알약개발부문에서 3.3디도스 악성코드에 대한 분석보고서를 발표했습니다.

33 DDos 전체개념도!

위의 이미지가 이번 3.3 디도스 악성코드에 관련한 '전체관계도'입니다.
더 많은 정보를 원하시는 분은 아래 내용을 참조하시거나 첨부해드린 '분석보고서'를 다운로드 하시기 바랍니다.
혹시, 아직 전용백신을 다운로드 하지 못하신 분들은 http://blog.estsoft.co.kr/64 를 꼭 읽어주시기 바랍니다.

1. 개요

3월 3일부터 대대적으로 40여개의 국내•외 공공기관 사이트들과 인터넷 쇼핑몰, 포털, 금융, 발전, 교통기관 등을 공격한 DDoS 사건을 재조명해보고, 재발방지 및 앞으로의 유사 사건 발생시 조기 차단을 위한 효과적인 대안을 모색해보려 한다.

우선 미국 및 국내 사이트들의 접속 장애를 초래한 DDoS 공격 기법은 분산 서비스 공격(Distributed Denial of Service)으로 서버를 직접적으로 침입하여 관리자 권한이나 정보를 빼내는 것이 아니라 해커의 명령 받아 공격을 수행하는 대규모 에이전트(좀비) PC들이 과도한 특정 명령을 지속적으로 피해 대상으로 보내 서버나 네트워크의 자원을 고갈시키는 공격이다.

우리의 실 생활에서 예를 들자면, 하루 평소 50명의 고객 요청을 처리하는 은행 창구에 고객이 아닌 사람들이 5000명 이상 몰려 정상 고객들이 은행 업무를 볼 수 없도록 은행 창구를 마비시키는 것과 비슷하다고 할 수 있다.

일반적으로 DDoS는 위의 그림처럼 다량의 마스터(Master) 서버들을 거쳐 수 많은 에이전트 (좀비; Zombie) PC들이 피해 대상으로 일제히 공격을 수행하기 다단계 구조이기 때문에 공격을 처음 지시한 해커를 추적한다는 것은 매우 어려운 것이 사실이다. 그렇기 때문에 수사기관에서도 공격을 처음 지시한 해커를 검거한 실제 사례 또한 드물다.


3.3 DDoS 공격의 특징

3월 3일에 국내 공공기관과 포털, 금융기관을 필두로 DDoS 공격을 감행한 이번 사건을 두고 언론과 많은 보안 전문가들이 ‘3.3 DDoS 공격’, ‘3.3 사이버테러’라고 흔히 부르고 있다.

기존의 DDoS 공격들이 흔히 금전적 목적으로 보안 시스템이 열악한 중소기업이나 쇼핑몰들을 DDoS 공격으로 정상적인 영업을 방해하고 협박을 통해 금품을 갈취하는 것 형태였으나 이번 3.3 DDoS 공격 또한 누가 어떤 목적에서 감행했는지 정확히 밝혀지지 않았다.

특이할 만 것은 이번 DDoS 공격이 지난번 7.7 DDoS처럼 국내 웹하드를 이용한 점과 DDoS 대상 리스트를 비롯한 공격 시나리오들이 매우 유사하며, 하드디스크 파괴 기능(msvcr90.dll 불필요 등) 강화 등 여러 문제점을 보완한 면이 보이고 있다.

(1) DDoS 공격 시간의 다변화

7.7 DDoS의 경우 3일에 걸쳐 하루에 한 차례 공격하는 형태였으나 이번 3.3 DDoS의 경우 3월 4일 하루에만 오전 10시 45분, 오후 6:30분 2차례 DDoS 공격을 수행한 만큼 공격 시간이 다변화 되었다.


(2) DDoS 공격 시작 시간은 있으나 종료 시간은 없음

7.7 DDoS의 경우 공격 시작 시간과 종료 시간이 명시되어 있었지만 3.3 DDoS의 경우 공격 시작 시간만이 존재한다. 종료 시간이 별도로 없으므로 치료되지 않은 감염 PC에서는 지속적으로 DDoS 공격 수행이 가능하다.


(3) 공격 타켓들의 조정이 발생

한나라당, 조선일보가 제외되고 디시인사이드 새롭게 추가, 대부분의 미국 관련 사이트가 제외 등 (3.3 DDoS에는 주한 미군 및 전북 군산에 위치한 미공군 제8전투비행단만 포함)


(4) 악성코드 제작자의 전략 변화 및 기능 강화

백신 회사 홈페이지의 직접적인 DDoS 공격보다는 감염 PC의 hosts 파일 변조를 통한 백신의 업데이트 방해로 악성코드 제작자의 전략이 변화되었다.

7.7 DDoS에서는 하드디스크 파괴에서 msvcr90.dll(MS .net framework 구성파일)이 필요했지만 이번 3.3 DDoS의 경우 이러한 라이브러리가 없이 하드디스크가 파괴(MBR 영역부터 NULL 값으로 overwrite 시도)되도록 기능이 더욱 보강되었다.

공격 대상이 기록된 dat 파일의 경우 쉽게 공격 대상을 파악하지 못하도록 난독화 처리 및  서버들 간의 통신에서는 암호화 기법이 적용되었다.


(5) 3.3 DDoS 악성코드 파일들이 더욱 유기적이면서 독립적인 면을 함께 갖춤

여러 개의 악성코드 파일들이 서로 유기적으로 잘 작동하면서 DAT-DLL 파일 간의 참조 관계가 깨질 경우 바로 독립적인 파괴 동작이 수행되었다. 실 예로, 하드디스크 파괴를 위해 noise03.dat에 감염된 시간이 기록되며, noise03.dat 파일이 삭제, 이동, 변조되는 경우 바로 하드디스크 파괴(MBR 영역부터 NULL 값으로 overwrite 시도)와 파일 손상을 시작하게 된다.


(6) 악성코드의 유포 방식은 7.7 DDoS와 같음

7.7 DDoS의 경우 국내 웹하드 서비스를 통해 악성코드가 처음으로 유포되었으며, 이번 3.3 DDoS의 경우에도 웹하드 서비스를 이용해 유포되었다.

HTTP, UDP, ICMP 여러 프로토콜의 패킷들을 공격 대상으로 발송하게 된다.
HTTP Get Flooding과 CC(Cache Control) Attack 방식으로 DDoS을 수행해 80 포트가 오픈(Allow)된 일반적인 방화벽에서는 차단이 불가능하다.


(7) 기타

1) 3.3 DDoS에서도 실제 공격 PC들의 IP들이 변조(Spoofing)된 것이 아니라 실제로 존재하는 Real IP 이다.
2) 감염된 PC에서는 악성코드가 시스템 자원을 크게 사용하지 않아 PC 사용자의 체감 속도 저하도 크지 않았다.
3) 7.7 DDoS와 달리 파일 목록의 외부 유출, 스팸메일 발송 등의 추가 동작은 없었다.

<DDos 공격 대상 종합 리스트 - 국내>

주소	이름	형태
korea.go.kr	대한민국 전자정부	정부기관
cwd.go.kr	청와대	정부기관
fsc.go.kr	금융위원회	정부기관
kcc.go.kr	방송통신위원회	정부기관
mofat.go.kr	외교통상부	정부기관
mopas.go.kr	행정안전부	정부기관
unikorea.go.kr	통일부	정부기관
nts.go.kr	국세청	정부기관
police.go.kr	경찰청	정부기관
customs.go.kr	관세청	정부기관
mnd.mil.kr	국방부	국방
jcs.mil.kr.	합동참모본부	국방
army.mil.kr	육군본부	국방
navy.mil.kr	해군본부	국방
airforce.mil.kr	공군본부	국방
dema.mil.kr	국방홍보원	국방
dapa.go.kr	방위산업청	국방
assembly.go.kr	국회	입법기관
korail.com	한국철도공사	교통
khnp.co.kr	한국수력원자력	발전
kisa.or.kr	한국인터넷진흥원	정부관련
wooribank.com	우리은행	금융
kbstar.com	국민은행	금융
keb.co.kr	외환은행	금융
shinhan.com	신한은행	금융
nonghyup.com	농협	금융
hanabank.com	하나은행	금융
jeilbank.co.kr	제일은행	금융
daishin.co.kr	대신증권	금융
kiwoom.com	키움증권	금융
naver.com	네이버	포털
daum.net	다음	포털
hangame.com	한게임	IT업체
ahnlab.com	안철수연구소	IT업체
dcinside.com	디시인사이드	IT업체
gmarket.co.kr	지마켓	쇼핑몰
auction.co.kr	옥션	쇼핑몰

<DDos 공격 대상 종합리스트 - 해외>
 

주소	이름	형태
usfk.mil	주한미군	국방
kunsan.af.mil	미공군 제8전투비행단 (군산)	국방

2. 감염증상

 



(1) 시스템 측면

- 시스템 폴더(System32)에 공격 리스트가 포함된 추가적인 악성코드 파일을 설치한다. (Ntgg55.dll, Noise03.dat, Ntcm63.dll, Tljoqgv.dat, Tlntwye.dat, Svki65.dll, Rtdrvupr.exe, Host.dll, Faultrep.dat, mxxxsvc.dll, wxxxsvc.dll, sxxxsvc.dll → xxx : 임의의 알파벳 3글자)

- Host 파일을 변조하여 백신의 정상적인 업데이트를 방해한다.

- 윈도우 시작시 실행되게 하기 위해 호스트 서비스 레지스트리에 추가 HKLM\SYSTEM\CurrentControlSet\Services\

- noise03.dat의 감염 날짜를 기준으로 PC에 감염된 후 4일~7일이 지나거나(3월 6일 변종은 즉시 파괴 0일로 설정) noise03.dat 파일이 열리지 않거나 삭제된 경우, 현재 시스템 날짜가 noise03.dat 날짜보다 이전인 경우 하드디스크의 모든 섹터들을 파괴한다. (MBR 영역부터 NULL 값으로 overwrite 시도) 예외적으로 C&C 서버에서 파괴 명령이 하달된 경우 즉시 파괴 동작을 수행한다.

- 특정 문서 파일 및 압축 파일, 소스코드 파일을 NULL 값으로 overwrite하고 임의(random)의 8자리 암호로 파일을 압축해 원본 파일을 삭제시킨다. (파일 복구 불가능)


(2) 네트워크 측면

- C&C 서버에 접속해 추가적인 악성코드와 명령을 내려 받는 것으로 추정된다.
- HTTP, UDP, ICMP 프로토콜을 이용한 DDoS 공격 패킷(Packet)을 발송한다.

<C&C 서버 IP 주소 리스트>

서버 IP 주소	국가	서버 IP 주소	국가
173.18.37.158	미국	212.102.5.42	사우디아라비아
200.132.59.120	브라질	212.62.100.211	사우디아라비아
207.191.121.170	미국	59.120.179.11	대만
209.107.241.247	미국	59.125.224.43	대만
212.200.11.82	세르비아	63.163.221.71	미국
74.42.253.166	미국	212.58.215.77	러시아
78.39.222.97	이란	32.106.118.196	미국
82.154.248.137	포르투갈	41.241.141.76	남아프리카
83.103.52.109	이탈리아	65.15.100.146	미국
120.151.118.10	오스트레일리아(AU)	88.215.130.6	러시아
147.175.129.216	슬로바키아	119.15.208.97	대만
203.196.252.244	인도	206.74.76.243	미국
208.71.147.242	미국	210.245.87.13	베트남
210.145.163.228	일본	212.190.216.147	벨기에

3. 감염 및 전파 방법

(1)  영향 받는 OS : 윈도우 계열
  
 3.3 DDoS의 하드디스크 파괴는 .net framework가 설치되지 않은 PC에서도 동작 가능
                
(2)  감염 및 전파 방법

악성코드 제작자는 국내 웹하드 사이트의 업데이트 서버를 해킹하여 3.3 DDoS 관련 악성코드 파일을 올려 놓았고, 웹하드 이용자들이 웹하드 업데이트로 파일을 내려 받을 때 악성코드가 함께 설치되어 DDoS 공격을 실제로 수행하게 되는 좀비 PC가 된다. 이외에도 첫 PC에 감염된 후 다른 PC로의 추가 전파 기능은 없는 것으로 보여진다.

현재까지 알려진 3.3 DDoS 악성코드 파일을 유포한 국내 웹하드 사이트는 5개이다.(쉐어박스, 슈퍼다운, 파일시티, 보보파일, 지오파일)

4. 파일 및 진단 정보

번호	파일 이름	진단명	크기	Hash (MD5)
1	Ntgg55.dll	Trojan.Dropper.Agent.nthost	124KB	65334333F65C5297B0E4F06A4B050804
2	Rtdrvupr.exe	Trojan.Agent.hosts	16KB	D15E188501ACC67FD4D0D7699EC7B102
3	SBUpdate.exe	Trojan.Downloader.Agent.33D	12KB	A411B944AF23D28D636A0312B5B705DE
4	Ntgg55.dll	Trojan.Dropper.Agent.nthost	124KB	E82313DD99D4AAEC6F4DC9DB4C7BF6EC
5	Rtdrvupr.exe	Trojan.Agent.hosts	16KB	13BAFD5001AAE9B079480D2323403C36
6	SBUpdate.exe	Trojan.Downloader.Agent.33D	12KB	4551CEBFD3340E744828EEAB9CA076D9
7	Faultrep.dat	V.BKD.DllBot.gen	4KB	CF8C47C8970821C9106A131647B08497
8	Filecity.exe	Trojan.Downloader.Agent.33D	20KB	DE905320DA5D260F7BB880D1F7AF8CEC
9	Host.dll	Trojan.Dropper.Agent.nthost	116KB	133D384459ED020B4619735BA70FE7B1
10	Mdomsvc.dll	Backdoor.Dllbot.gen	72KB	AE0D2FA1043770A37DF97B94024D6165
11	Meitsvc.dll	Backdoor.Dllbot.gen	72KB	A63F4C213E2AE4D6CAA85382B65182C8
12	Noise03.dat	V.BKD.DllBot.gen	4KB	561DAC7D20A488317C62ED38A6940987
13	Ntcm63.dll	Trojan.Dropper.Agent.nthost	128KB	F1EC5B570351DB41F7DD4F925B8C2BA7
14	Setup_bobofile.exe	Trojan.Downloader.Agent.33D	12KB	AE1D2CB86364E27A759D0106374ED403
15	Sfofsvc.dll	Trojan.Agent.docCrypt	48KB	C963B7AD7C7AEFBE6D2AC14BED316CB8
16	Ssaxsvc.dll	Trojan.Agent.docCrypt	48KB	111401C491C7319005CB3906D298B63B
17	Tljoqgv.dat	V.BKD.DllBot.gen	16KB	1BE4CCA010AE2D1F6C6926EC623D2C6C
18	Tlntwye.dat	V.BKD.DllBot.gen	4KB	D1170FE4E3658E95EC04AB9C0A9B5F64
19	Wricsvc.dll	Backdoor.Dllbot.gen	44KB	EDA2413435EEDD080988AD0BA63C7454
20	Wsfcsvc.dll	Backdoor.Dllbot.gen	40KB	0A21B996E1F875D740034D250B878884
21	SBUpdate.exe	Trojan.Downloader.Agent.33D	12KB	7E22F5347C3F8B424EA49EB40193F865
22	zxcvb.exe	Trojan.Dropper.Agent.nthost	24KB	556B0F5E9D6E61DCF0914E1B0CE39155
23	SBUpdate.exe	Trojan.Downloader.Agent.33D	12KB	5EA379F108665421B243A8FDEAAB4344
24	Svki65.dll	Trojan.Dropper.Agent.nthost	76KB	534822B4175B99140EEE4868DEDFBB04
25	Newsetup2.exe	Trojan.Downloader.Agent.33D	28KB	59034BDB4DEB4BF2E5D4431383D6E3B6
26	Messsvc.dll	Backdoor.Dllbot.gen	72KB	6B0D5B1225A6BBBA43946734FDD3CC4F
27	Wtvtsvc.dll	Backdoor.Dllbot.gen	36KB	9EF7C717BA856EC760D6A62FFC05F502
28	Setup.exe	Trojan.Downloader.Agent.33D	16KB	D7AEE492AC8253DFB05F8DC08C6660F2
29	Muropc.exe	Trojan.Agent.hosts	16KB	0A11609E967857908B0FA285DA5A29EF
30	Muropc.dll	V.BKD.DllBot.gen	5KB	88E2F0CA1BED4FEAB764B7BEC703C7E8
31	muropc.exe	Trojan.Agent.docCrypt	60KB	53B8E4FB77FDB70A4D59EC903C110318
32	xmldproc.dll	Trojan.Agent.docCrypt	24KB	E92D5533B226532F84D8876ABFE959FE
33	setup.exe	Trojan.Downloader.Agent.33D	16KB	64FF3D3C000F657489CC03DF13DB8366
34	Tljoqgv.dat	V.BKD.DllBot.gen	1KB	E8374D1F7944DC56E8D3B6331AED093B

 

(1) 3.3 DDoS 악성코드 전체 관계도

 

(2) SBUpdate.exe (Trojan.Downloader.Agent.33D) - Main Downloader

다운로더(Downloader) 타입의 악성코드로 C&C 서버에 접속하여 감염 PC의 이름과 도메인정보를 유출시키게 되며,Dropper악성코드와 경유지 목록을 다운로드 받게 된다. 만약, C&C 서버 접속에 실패할 경우 리스트에 있는 모든 C&C 서버에 순차적으로 접속을 시도하게 된다. 마지막으로 Batch 파일의 추가 생성을 통해 SBUpdate.exe 자기 자신을 삭제하여 악성코드 분석가의 추적을 어렵게 만들고 있다.

SBU pdate.exe 악성코드의 동작구조

(3) host.dll (Trojan.Downloader.Agent.nhost) - Dropper

Host.dll or ntxxxx.dll은 3개의 DLL 파일과 4개의 DAT 파일을 Drop 시키는 역할을 수행한다. (Host.dll의 ntxxxx.dll 차이점은 rtdrvupr.exe 파일의 추가 파일 Drop 여부에 따라 달라짐)

Drop된 DLL 파일들은 System32 폴더에 위치하게 되며, 임의의 알파벳 3글자가 추가되어 최종 파일 이름이 결정 된다.
또한 DLL 파일들이 윈도우 서비스로 동작하도록 레지스트리에 정보를 추가시킨다.DAT 파일의 경우 DDoS 공격, 하드디스크 및 파일 파괴와 관련된 정보 등이 포함되어 있다.

레지스트리에 추가되는 DLL파일 정보

마지막으로 Batch 파일의 추가 생성을 통해 Host.dll or ntxxxx.dll 자기 자신을 삭제한다.

Host.dll or ntxxxx.dll 악성코드의 동작구조

(4) rtdrvupr.exe (Trojan.Agent.hosts)

Ntxxxx.dll이 Drop한 rtdrvupr.exe 파일은 감염 PC의 hosts 파일을 변조해 백신의(V3, 알약) 정상적인 업데이트를 방해하는 것이 주 목적이다.

먼저, C:\Windows\system32\drivers\etc\hosts 파일의 숨김(Hidden) 속성을 해제한 후 변조할 hosts 파일을 C:\Documents and Settings\(사용자이름)\Local Settings\Temp 폴더에 15.tmp로 복사한다.

C:\Windows\system32\drivers\etc\hosts 파일의 내용을 지우고 15.tmp 파일의 내용을 hosts 파일에 복사한다. (하드코딩 된 문자열을 “127.0.0.1 %s(도메인)”형식으로 저장)

악성코드가 host 파일 변조로 백신 업데이트를 차단시키는 주소들

실제 변조된 hosts 파일내용

(5) mxxxsvc.dll (Backdoor.DllBot.gen)

Host.dll or ntxxxx.dll (예: ntcm63.dll)이 추가로 Drop한 mxxxsvc.dll(예: Mdomsvc.dll)은 백신 프로그램의 진단 우회와 분석가의 분석을 어렵게 하기 위해 사용하는 문자들이 AES로 암호화되어 있다. 또한 자신이 사용할 API를 실행할 때 재구성하여 실행하게 한다.

ntxxxx.dll (예: ntcm63.dll)에서 함께 Drop된 faultrep.dat (Bot 설정 파일)파일을 열어 내부에 저장된 C&C 서버로 추정되는 IP 주소에 접속을 시도한다. (현재는 서버 접속 불가)

mxxxsvc.dll 악성코드의 동작구조

C&C 서버로 추정되는 IP에 접속되면 암호화된 패킷을 주고 받아 패킷에 지정된 명령에 따라 C:\Windows\NLDRV\111이나 임시폴더에 또 다른 악성코드를 추가로 다운로드 받아 실행 할 수 있다.


(6) wxxxsvc.dll (Trojan.Agent.docCrypt)

wxxxsvc.dll은 특정 파일 및 하드디스크 파괴를 담당하는 파일로 아래의 어떠한 조건이라도 충족된다면 특정 확장자 파일 및 하드디스크의 파괴 쓰레드(Thread)가 실행되게 된다.

1) DAT 파일이 없거나 열리지 않을 때 (noise03.dat는 감염 시간이 기록되어 있음)
2) 설치(감염) 일자보다 현재 시스템 날짜가 작을 때
3) 현재 시스템 날짜가 악성코드가 설치된 날짜와 지정된 일자를 더한 값보다 큰 경우
(즉시 파괴는 0일, 쉐어박스 유포 경우는 7일, 슈퍼다운 경우는 4일 후 파괴로 설정)

wxxxsvc.dll 악성코드의 동작구조

특정 파일에 대한 파괴는 모든 폴더를 검사하여 특정 조건의 확장자의 파일 내용을 Null 문자열로 채운 후 임의의 8자리 암호를 생성하여 암호가 걸린 CAB 파일로 교체한다.

원본 정상 파일(위) 및 악성코드에 의해 파괴돈 후(아래)

악성코드에 의해 파괴된 파일은 원천적으로 복구가 불가능하다.

C 드라이버(\\.\PhysicalDrive0) Offset = 0 에 파일포인트를 생성하여 0x400000 byte 씩 100000번을 반복해 NULL 문자열로 덮어쓴다. (하드디스크 파괴 시작)

악성코드에 의해 파괴된 시스템 또한 일반 사용자가 복구하기 매우 어렵다

정상적인 MBR(좌) 영역과 악성코드에 의해 NULL로 Overwrite된 MBR 영역(우)

악성코드 의해 파괴된 하드디스크는 정상적인 부팅이 불가능함

7.7 DDoS의 경우 하드디스크의 MBR 영역만 파괴했고 Memory of the Independence day 메시지가 있었지만 이번 경우 특정한 메시지가 없는 NULL 값이며, 하드디스크의 상당 수 섹터가 Overwrite 되어 정상적인 복구가 더욱 어려워질 것으로 판단된다.


(7) sxxxsvc.dll (Backdoor.Dllbot.gen) 

sxxxsvc.dll은 윈도우 서비스로 실행되며, 실제 DDoS 공격을 담당하는 파일이다.  최종 DDoS 공격 시작을 위해서는 tlnywye.dat, tljoqgv.dat 파일이 필요하게 된다.

sxxxsvc.dll 악성코드의 동작 구조

tlntwye.dat 파일이 로드 되면 GetSystemTime 함수를 이용해 현재시간을 저장하고 연도를 2011로 맞춘다.

이후 tlntwye.dat에 저장된 공격시간과의 현재시간과 비교를 통해 공격시간이 현재시간보다 작으면 다음 루틴으로 넘어가게 되며 만약 지나지 않았다면 1분간 반복적으로 공격시간과 재비교를 시도하게 된다. (다음 루틴으로 넘어갈 때는 tlntwye.dat파일을 삭제한다.)

현재까지 수집된 샘플의 DDoS 공격 시간을 확인해 보면 아래와 같다.

참고로, 추가 접수된 변종 샘플의 경우 한국 시각 기준 5일 오전 8시도 새롭게 추가되었으며, DDoS 공격 시간 및 공격 타켓이 지정된 파일 이름이 달라졌다.(공격 시간 : tlntwye.dat → dasrrvm.dat, 공격 타켓 : tljoqgv.dat → doqmcru.dat)

4일 10시 00분, 18시 30분
5일 13시 51분
5일 08시 00분 (추가 접수된 변종 파일)

공격시간이 되면 도매인 정보를 포함한 tljoqgv.dat 파일을 메모리에 로드한다. 

메모리에 로드된 내용은 난독화가 되어 있으며, 복호화 루틴을 따라 다시 메모리에 저장된다

복호화를 통해 생성된 DDoS 공격 대상 주소는 1차 40개, 2차 29개 추가 접수된 변종 샘플의 경우 2개를 확인 할 수 있었다.

이후에는 해당 도메인 주소 정보를 바탕을 스레드를 다수 생성하여 DDoS 공격을 시도한다.

생성된 스레드는 다시 랜덤한 방식의 패킷을 만들어 외부 접속을 시도하게 된다.

다음은 패킷을 만들어 send를 통해 www.xx.com 발송한 내용이다.

공격에 사용하는 프로토콜도 UDP, HTTP, ICMP 등으로 임의 선택된다.

 더 자세한 내용은 '분석보고서'를 다운로드하세요!! Written by BS!

3.3 DDoS 악성코드에 대한 분석 보고서.pdf