본문 바로가기

기술 용어 검색

IRCBot (Botnet)

1. IRCBot 및 Botnet
가. IRCBot
-  제어를 위해 IRC(Internet Relay Chat) 채널을 이용하며 이미 해킹당해 해커에 의해 제어당하는 시스템(좀비 PC)을 말함
- 공격자 자신이 만든 채널을 자신만의 공간으로 활용할 수 있으며 해킹 당한 좀비 PC들을 마음대로 제어함
- 공격자가 소유한 IRC 채널에 연결된 감염된 호스트를 IRCBot이라고 함

나. Botnet
- IRC 채널에 연결된 IRCBot들로 이루어지 네트워크를 Botnet이라고 함

2. Botnet의 문제점

가. Botnet 탐지의 어려움
- IRCBot은 트로이 목마 프로그램들과는 다른 다수의 좀비 PC들을 동시에 제어 할 수 있음
- 제어에 사용되는 포트가 정상적인 IRC 포트(6667)를 주로 이용하기 때문에 탐지가 어려움

나. IRCBot 소스 코드 공개
- IRCBot 소스코드는 대부분 공격자 성향에 따라 기능을 추가, 삭제할 수 있도록 구현됨
- 새로운 취약점이 나올 경우 기존의 소스 코드에 취약점 공격 코드만 추가하면 쉽게 변종 제작이 가능함

다. 웜, 바이러스, 스파이웨어, 트로이목마 등 다양한 악성코드 유포 근거지
- 최근의 IRCBot은 DDoS나 Syncflooding 공격보다 트로이 목마나 웜, 바이러스, 애드웨어, 스파이웨어 등을 설치하기 위한 목적으로 많이 사용됨
- IRCBot 제작들이 Bot을 만드는 목적이 전과는 달리 금전적인 이익을 위해 변해감

라. 피싱과 파밍 등 Botnet 거래를 통한 금전적 이득 추구
- 위장 사이트와 이메일을 이용하는 피싱보다 Botnet을 이용한 피싱 공격이 증가함

마. 불법 와레즈 사이트 운영
- Botnet의 고속 인터넷 연결을 이용하여 크랙한 소프트웨어, 해적판 영화 등 불법적인 데이터들을 무작위로 유통하고, 다수의 Bot들을 이용하여 분산된 파일 저장소로 사용됨

3. Botnet의 대응 방법

- 보안 패치를 잘 하고 유추하기 어려운 공유폴더 암호를 사용
- 모르는 이메일을 열어보지 않고, 백신 프로그램 업데이트를 수행함