0x04 reference&tools2012.02.01 12:02




얼마전 LOIC(Low Orbit Ion Cannon)의 JS 버전에 대한 이슈가 있었는데요..

http://blog.spiderlabs.com/2011/01/loic-ddos-analysis-and-detection.html


이번엔 HOIC(High Orbit Ion Cannon) 툴에 대한 이슈가 나왔습니다.

http://blog.spiderlabs.com/2012/01/hoic-ddos-analysis-and-detection.html


툴을 유포하던 사이트는 닫혔지만 툴은 인터넷을 통해 유포되고 있는듯 합니다.




요런 파일들을 가지고 있습니다.

[##_http://malwarelab.tistory.com/script/powerEditor/pages/1C%7Ccfile28.uf@1934E9434F28A87404A11D.png%7Cwidth="699"_##]

LOIC와의 차이점은 Boost 기능이 있다는 것인데요 *.hoic 파일이 Boot에 사용되는 파일입니다.

그런데 LOIC 공격과 그닥 큰 차이는 보이지 않는듯 합니다. -_-;;


spiderlab의 분석글에서는 snort 탐지패턴을 언급을 하고 있는데 오탐 가능성도 많을 것으로 예상되며

만약 소스코드가 공개된다면 spiderlab에서 제공한 패턴만으로는 탐지가 되지 않을 가능성이 큽니다.

spiderlab에서 이야기한 패턴 중에 헤더와 헤더값 사이에 공백이 두개가 있어서 이걸 탐지하는 것을 언급하고 있는데

소스코드 수정하면 충분이 해당 패턴을 충분히 우회가 가능할 것으로 보입니다.



탐지패턴은 바이너리로 |3a 20 20 | 를 탐지하는 형태였습니다.

alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"SLR Alert - HOIC Generic Detection with booster - HTTP 1.0 / Header Double Spacing"; flow:established,to_server; content:"User-Agent|3a 20 20|"; nocase; content:"HTTP/1|2e|0"; nocase; reference:url,blog.spiderlabs.com; threshold: type both, track by_src, count 15, seconds 30; classtype: slr-tw; sid:1; rev:1; )


소스코드가 공개되지 않는 상태에서 해당 툴의 수정없이 공격한다면 위와 같은 패턴으로 탐지는 가능할 것으로 보입니다.

자세한건 상단에 있는 링크를 참조하시기 바랍니다.








저작자 표시 비영리 변경 금지
신고
Posted by demantos

댓글을 달아 주세요