반응형
kippo를 통해 본 봇들의 공격 방법
위 그림은 봇들의 활동을replay를 시킨 것이다.
1. 제일 먼저 방화벽을 stop 한다.
2. 115.230.124.201:8888 를 통해 악성 파일들을 다운 받는다
3. 다운 파일의 권한을 777로 바꾸어 실행 가능하도록 한다.
4. 해당 파일을 백그라운드로 돌리도록 한다.
시간대는 조금 다르지만 같은 공격자가 만든 봇들의 공격으로 보인다. 공격지는 중국이며, 봇으로 추정 가능한 것은 같은 공격 패턴과 command not found가 일어나도 계속 명령어를 입력하는 것을 보고 판단할 수 있다.
*보안 장비 설계시
로그를 수집할때 wget과 방화벽 stop에 관련된 로그를 수집하여 공격 여부를 확인하는 방법도 괜찮을 것 같다.
반응형
'프로젝트 관련 조사 > 허니팟' 카테고리의 다른 글
| conpot 설치 방법 (0) | 2015.11.09 |
|---|---|
| kippo를 통해 본 봇들의 공격 -2 (0) | 2015.11.07 |
| kippo 설치 및 운영 (0) | 2015.11.07 |
| 허니팟(Honey Pot) 설치 - honeydrive (0) | 2015.11.06 |