0x04 reference&tools2010. 11. 17. 10:21



[출처 : Symantec]

2010년 11월 12일(GMT), Koobface 봇넷 및 내부 운영에 대한 상세 정보를 공개하는 보고서가 발표되었습니다. 이 보고서는 해당 봇넷 일부 인프라의 실질적인 폐쇄와 때를 같이해 발표되었습니다.

영국에 기반한 ISP Coreix가 Koobface 봇넷 운영에 사용되는 이미 알려진 세 개의 C&C(Command and Control) 서버 중 하나에 대한 조치를 취했습니다.

Koobface는 소셜 네트워킹 사용자를 대상으로 하는 2008년 중반에 처음 모습을 드러낸 비교적 새로운 웜입니다. Koobface가 많은 소셜 네트워킹 사이트의 사용자들을 공격할 수 있지만, 특히 Facebook 사용자 대해 효과적인데, 이 때문에 Koobface라는 이름이 붙여졌습니다.

감염된 컴퓨터의 사용자가 자신의 계정에 로그인하면, 동영상과 같은 다양한 아이템에 대한 링크를 포함한 메시지를 게시할 목적으로 세션 가로채기가 수행됩니다. 해당 링크는 종종 다계층의 리디렉션을 수행하며, 최종적으로 비디오 코덱으로 위장한 위조 안티바이러스 소프트웨어를 전형적으로 제공하는 다양한 사이트로 연결됩니다.

해당 봇넷 운영의 재정 부분은 이 보고서에서 다루고 있는 흥미로운 부분입니다. 해당 정보는 이 봇넷 운영자들이 자신들의 사업을 제어 및 모니터링할 목적으로 관리하는 "mothership" 컴퓨터에 의해 관리되고 있는 파일
및 레코드에서 수집되었습니다.

해당 보고서는 Koobface가 PPC(Pay Per Click) 광고 및 악성 프로그램의 PPI(Pay Per Install)를 위주로 한 다양한 작업들을 통해 수익을 창출하고 있다고 언급하고 있습니다. 연구원들이 조사를 수행한 기간인 2009년 6월부터 2010년 6월 동안 해당 봇넷이 창출한 자금은 거의 미화 200만 달러에 달했습니다.


Koobface: Inside a Crimeware Network
http://www.infowar-monitor.net/reports/iwm-koobface.pdf

Posted by demantos