안녕하십니까 이번 포스팅에서는 넷버스를 한 번 동작시켜보겠습니다.

공격자의 넷버스 프로그램입니다. 외양은 오리지널 넷버스랑 흡사합니다.

주소를 입력하고 Connect버튼을 누르면 연결을 시도합니다.

감염자로부터 연결이 실패했으면 위와 같이 나타납니다.

이번에는 patch를 실행해봅시다.

코드의 listen함수를 호출하고 나면 위와 같이 보안 경고 창이 뜹니다. listen함수에 의해 12345 포트가 열려버렸으므로 이 포트에 대한 통신을 허용할 것인가 아닌가를 정할 수 있습니다. 

지금은 localhost로 통신을 시도하는 것이므로 딱히 액세스를 허용하지 않아도 문제가 없지만 다른 호스트와 통신을 할 경우 감염자의 PC에서 액세스를 허용시키지 않는다면 기능이 정상적으로 작동하지 않을 수 있습니다.

TCPView프로그램으로 살펴보면 patch프로그램에서 소켓이 12345포트로 데이터를 받을 준비가 되어있다고 뜹니다. State를 보면 LISTENING라고 되어 있는것이 보이시지요?

이번에는 공격자에서 연결을 시도해보겠습니다. patch가 동작되어 있는 상태에서 localhost로 통신을 시도하면 연결이 되었다는 문구와 함께 감염자의 PC에 명령을 내릴 수 있는 버튼들이 활성화됩니다.

TCPview를 살펴보면 소켓이 하나 더 생성된 것을 볼 수 있으며 그 소켓은 localhost와 통신을 하는 것을 볼 수 있습니다. localhost의 55477포트에서 데이터를 전송하면 자신의 12345포트에서 데이터를 받는 것이지요. 반대로 자신의 12345포트에서 데이터를 전송하면 localhost는 55477포트로 데이터를 받습니다.

이번에는 한 번 파일을 찾아보겠습니다. 파일찾기 버튼을 누르면 우리가 리소스에서 만든 대화상자가 호출됩니다. 여기서 텍스트파일 버튼을 누르면 시간이 조금 지난 후 파일을 다 찾았다는 메세지박스가 나타납니다.

생성된 파일을 한 번 열어봅시다.

감염자의 바탕화면에 있는 txt파일을 모두 찾는 것을 볼 수 있습니다.

이번에는 찾은 파일 경로를 이용하여 복사를 시켜보겠습니다. 파일 복사 버튼을 눌러 대화상자를 호출한 후 복사할 파일 경로를 적고 확인 버튼을 누르면 시간이 조금 지난 후 복사된 파일이 넷버스 복사물이란 폴더 안에 생성됩니다. 

넷버스 복사물 폴더를 살펴보시면 경로명과 일치하는 파일이 복사된 것을 확인할 수 있습니다.

그리고 앞에서 말씀드렸다시피 감염자의 IP가 사설IP면 공격자와 감염자가 같은 네트워크 상에 있지 않는 한 위의 프로그램으론 통신이 불가능합니다.

추가로 TCPview 프로그램 대신 cmd의 netstat -a명령어를 이용하여 통신 상태를 확인할 수 있습니다.

위의 사진은 포트가 열린 상태입니다.

위의 사진은 연결이 된 상태입니다. patch프로그램을 재시작했기 때문에 포트번호는 앞에 나온 TCPview와 다를 수 있습니다.

그리고 마지막으로 다시 한번 강조하지만 절대 악용하지 마시길 바랍니다.

이상으로 포스팅을 마치겠습니다.

Posted by englishmath
,