파밍하는 애들도 사람인지라 서버 해킹후 특정 포트를 열고 이래저래 설정파일을 밀어넣어 서버를 구축한다.
vhost를 사용한건 비교적 최근 파밍들이다. 이전에는 파밍악성코드 실행시 hosts파일에 도메인과 C&C 서버 호스트를 넣어 연결했지만, hosts파일 감지개념이 백신에 생기면서 vhost를 구축하고 접근하는 도메인에 따라 리다이렉트 하게된다.
자신이 마지막으로 확인한 파밍악성코드에 hosts에 해당 도메인이 없는데 C&C에서 어떻게 리다이렉션하냐 물을 수 있다.
이에 답은 익스플로러에 프록시 설정을 확인하면 된다, 파밍 악성코드 감염시 시스템 프록시 상태가 localhost로 되어있고 파밍악성코드가 간이 프록시를 열면서 사용자가 접근한 도메인의 정보를 받아 파밍페이지로 리다이렉션 시키는걸 확인할 수 있을 것 이다.
이것은 인터넷에서도 흔하게 보이는 단순 configuration이니 따로 첨부를 해두도록 하겠다.
20170718_123248.137e543d0d448ae214f95e98f3f0215f1ff09ccb4a983d2b258818391218d5c5.zip
0.05MB
