Citadel Atmos CnC서버 설치와 bot 테스트
서버를 설치합니다.
열기
초록색으로 되있으면 서버가 잘 동작중인 것
집어넣습니다 webadmin폴더 전체를
webadmin 폴더를 fd 로 바꾸기
C:\wamp\www참고로 이폴더 쪽에서 넣는다.
\
여기에 데이터베이스 설정하는게있고
127.0.0.1/fd/install/
우리는 phpMyadmin으로 들어갑니다.
만들기 누르기
사용권한가서 새사용자 추가
저키를 복사를 진행을하고
여기에 그대로 넣어주고 우리가사용자 만들었던거랑 다 기입합니다.
여기서 실행을 누릅니다.
그리고
여기서 install 누릅니다.
그리고 설치가 잘됬습니다.
127.0.0.1/fd/cp.php으로 들어와서 설치가 잘 됬는지 확인을 합니다.
로그인창이 잘 뜹니다. 거기서 패스워드랑 같이넣습니다.
여기에 로그인을 잘되게 됩니다.
만약 bot에서는
봇이추가가 되면 악성코드가 실행되면 cnc 에 접속이됬을떄 저기에 나옵니다.
어떤소프트웨어나 os나 각종정보들이 적용되있습니다.
외부에서 볼수있게 봅니다.
이거때문에 우리 로컬호스트에서만 접속이 되니까
all로 바꿔줍니다.
all로 변경
Restart All Services
를 누르게됩니다.
그러면 자동실행되서 우리가
all로 변경해서 외부에서 접속이가능하게 바꿀수있다.
bot설치를 위해서 C:\wamp\www\fd\files 을 봅니다
마치피싱기법처럼
www.hosting.cn 인것처럼 위장을 하게 만듭니다.
그래서 이 공간에 우리가가지고잇는
이것을
C:\Users\2a_da\Desktop\Citadel 0.0.1.1 (Atmos) Banking trojan Cracked\builder\b1
->
C:\wamp\www\fd\files 로옮깁니다.
deny from all으로되있을텐데
이것은 악성코드가 잘붙지 못하니까
파일을 제거해줍니다.
이이름을 변경해줍니다.
us.xml 파일으로 이름변경합니다.
그이유는
여기에 us.xml로 되있기때문에
localhost/fd/files/us.exe 로 들어가서 잘 접속이되는지 마지막에 확인을 해야합니다.
웹페이지에서 확인
그래서 성공
그리고 xp 를 vmware로 킨다음
ipconfig 로 ip확인후 접속해보자
hosts 파일은 어떤 도메인을요청할때 관여하는 곳
c:\windows\system32\drivers\etc\hosts
을 메모장으로 엽니다
(xp 에서)
windows 10 의 ip를 넣고 www.hosting.cn 을넣습니다.
이렇게 xp 에서 잘연결이 되는 것을 확인이 가능합니다.
us.exe 파일을 xp쪽으로 넘깁니다.
그리고 xp에서 us.exe를 실행하게되면
봇이 실행하게됩니다.
그럼 이렇게 저희가 가지고있는 xp가 감염이되서 봇을 테스트가 가능합니다
VNC는 원격조종
www.xylibox.com/2016/02/citadel-0011-atmos.html
user_execute <url>
url에서 파일을 다운받아서 실행시키게한다.
user_cookies_get
브라우저에대한 쿠키값을 가져옵니다
url open 이 존재해서 한번해보자
실행커맨드를 넣어서 명령을 전달하기위해서 실행합니다.
url open "http://malware-traffic-analysis.net/"진행
os_reboot으로 우리가
원격 커맨드를 이용해서 xp 를 리붓시킵니다.
감염된 bot에 대한 정보를 확인이 가능합니다.
정보확인가능
os_reboot으로 인한 원격 커맨드가 성공하였고
감염을 시키고 악성코드 만드는 법에대해서 조금 알아봤습니다.
'악성코드 및 포렌식' 카테고리의 다른 글
| Citadel 악성코드 분석 2 기초 동적 분석 (0) | 2021.04.06 |
|---|---|
| Citadel 악성코드 분석 1 기초정적분석 (0) | 2021.04.06 |
| C언어로 만든 키 후킹 분석하기 (0) | 2021.03.29 |
| 스파이웨어 악성코드 (0) | 2021.03.29 |
| 쿠쿠박스 인터페이스와 유틸리티 (0) | 2021.03.28 |
