보안 및 취약점/파밍 악성코드
파밍 악성코드 C&C 서버환경 알아보기
파밍하는 애들도 사람인지라 서버 해킹후 특정 포트를 열고 이래저래 설정파일을 밀어넣어 서버를 구축한다. vhost를 사용한건 비교적 최근 파밍들이다. 이전에는 파밍악성코드 실행시 hosts파일에 도메인과 C&C 서버 호스트를 넣어 연결했지만, hosts파일 감지개념이 백신에 생기면서 vhost를 구축하고 접근하는 도메인에 따라 리다이렉트 하게된다. 자신이 마지막으로 확인한 파밍악성코드에 hosts에 해당 도메인이 없는데 C&C에서 어떻게 리다이렉션하냐 물을 수 있다. 이에 답은 익스플로러에 프록시 설정을 확인하면 된다, 파밍 악성코드 감염시 시스템 프록시 상태가 localhost로 되어있고 파밍악성코드가 간이 프록시를 열면서 사용자가 접근한 도메인의 정보를 받아 파밍페이지로 리다이렉션 시키는걸 확인할 수..
2021. 9. 6. 17:56