GrandCrab ๋๋ Buran์ ํ์ ๋ฒ์ ์ผ๋ก ์ถ์ ๋๋ Nemty๋ผ๋ ์๋ก์ด ๋์ฌ์จ์ด๊ฐ ๋คํธ์ํฌ์ ๋ฑ์ฅํ์ต๋๋ค. ์ด ์ ์ฑ์ฝ๋๋ ์ฃผ๋ก ๊ฐ์ง PayPal ์น์ฌ์ดํธ์์ ๋ฐฐํฌ๋๋ฉฐ ์ฌ๋ฌ ๊ฐ์ง ํฅ๋ฏธ๋ก์ด ๊ธฐ๋ฅ์ ๊ฐ์ง๊ณ ์์ต๋๋ค. ์ด ๋์ฌ์จ์ด์ ์๋ ๋ฐฉ์์ ๋ํ ์์ธํ ๋ด์ฉ์ ๊ณต๊ฐ๋์ง ์์์ต๋๋ค.
์ฌ์ฉ์๊ฐ ๋ฐ๊ฒฌํ ์๋ก์ด Nemty ๋์ฌ์จ์ด
Nemty์ ๋ํ ๋ช ๊ฐ์ง ํฅ๋ฏธ๋ก์ด ์ฌ์ค์ Nemty๊ฐ ๋์ผํ ์ฌ๋์ด๋ Buran ๋ฐ GrandCrab๊ณผ ๊ด๋ จ๋ ์ฌ์ด๋ฒ ๋ฒ์ฃ์์ ์ํด ๊ฐ๋ฐ๋์์์ ์์ํฉ๋๋ค.
- GandCrab๊ณผ ๋ง์ฐฌ๊ฐ์ง๋ก Nemty์๋ ์ด์คํฐ ์๊ทธ๊ฐ ์์ต๋๋ค. ์ด๋ ๋ธ๋ผ๋๋ฏธ๋ฅด ํธํด ๋ฌ์์ ๋ํต๋ น์ ์๋ํ ๋๋ด ์ฌ์ง์ ๋ํ ๋งํฌ์ ๋๋ค. ๋ ๊ฑฐ์ GandCrab ๋์ฌ์จ์ด์๋ ๋์ผํ ํ ์คํธ๊ฐ ํฌํจ๋ ์ด๋ฏธ์ง๊ฐ ์์์ต๋๋ค.
- ๋ ํ๋ก๊ทธ๋จ์ ์ธ์ด ์ ๋ฌผ์ ๋์ผํ ๋ฌ์์์ด๋ฅผ ์ฌ์ฉํ๋ ์ ์๋ฅผ ๋ํ๋ ๋๋ค.
- ์ด๋ 8092๋นํธ RSA ํค๋ฅผ ์ฌ์ฉํ๋ ์ต์ด์ ๋์ฌ์จ์ด์ ๋๋ค. ์ฌ๊ธฐ์๋ ์๋ฌด๋ฐ ์๋ฏธ๊ฐ ์์ง๋ง 1024๋นํธ ํค๋ ํดํน์ผ๋ก๋ถํฐ ๋ณดํธํ๊ธฐ์ ์ถฉ๋ถํฉ๋๋ค.
- Buran๊ณผ ๋ง์ฐฌ๊ฐ์ง๋ก ์ด ๋์ฌ์จ์ด๋ Object Pascal๋ก ์์ฑ๋์์ผ๋ฉฐ Borland Delphi๋ก ์ปดํ์ผ๋์์ต๋๋ค.
์ ์ ๋ถ์
์ ์ฑ์ฝ๋ ์คํ์ 32๋จ๊ณ๋ก ์งํ๋ฉ๋๋ค. ์ฒซ ๋ฒ์งธ ๋จ๊ณ๋ MS Windows์์ ํฌ๊ธฐ๊ฐ 1198936๋ฐ์ดํธ์ธ PE14 ์คํ ํ์ผ์ธ cashback.exe๋ฅผ ์คํํ๋ ๊ฒ์ ๋๋ค. ํด๋น ์ฝ๋๋ Visual C++๋ก ์์ฑ๋์์ผ๋ฉฐ 2013๋ XNUMX์ XNUMX์ผ์ ์ปดํ์ผ๋์์ต๋๋ค. Cashback.exe๋ฅผ ์คํํ๋ฉด ์๋์ผ๋ก ์์ถ์ด ํ๋ฆฌ๋ ์์นด์ด๋ธ๊ฐ ํฌํจ๋์ด ์์ต๋๋ค. ์ํํธ์จ์ด๋ Cabinet.dll ๋ผ์ด๋ธ๋ฌ๋ฆฌ์ ํด๋น ๊ธฐ๋ฅ FDICreate(), FDIDestroy() ๋ฐ ๊ธฐํ ๊ธฐ๋ฅ์ ์ฌ์ฉํ์ฌ .cab ์์นด์ด๋ธ์์ ํ์ผ์ ๊ฐ์ ธ์ต๋๋ค.
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
์์นด์ด๋ธ์ ์์ถ์ ํ๋ฉด ์ธ ๊ฐ์ ํ์ผ์ด ๋ํ๋ฉ๋๋ค.
๋ค์์ผ๋ก MS Windows์์ 32๋ฐ์ดํธ ํฌ๊ธฐ์ PE307200 ์คํ ํ์ผ์ธ temp.exe๊ฐ ์คํ๋ฉ๋๋ค. ์ฝ๋๋ Visual C++๋ก ์์ฑ๋์์ผ๋ฉฐ UPX์ ์ ์ฌํ ํจ์ปค์ธ MPRESS ํจ์ปค๋ก ํจํค์ง๋์์ต๋๋ค.
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
๋ค์ ๋จ๊ณ๋ ironman.exe์ ๋๋ค. temp.exe๊ฐ ์คํ๋๋ฉด temp์ ํฌํจ๋ ๋ฐ์ดํฐ์ ์ํธ๋ฅผ ํด๋ ํ๊ณ ์ด๋ฆ์ 32๋ฐ์ดํธ PE544768 ์คํ ํ์ผ์ธ ironman.exe๋ก ๋ฐ๊ฟ๋๋ค. ์ฝ๋๋ Borland Delphi์์ ์ปดํ์ผ๋์์ต๋๋ค.
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
๋ง์ง๋ง ๋จ๊ณ๋ ironman.exe ํ์ผ์ ๋ค์ ์์ํ๋ ๊ฒ์ ๋๋ค. ๋ฐํ์ ์ ์ฝ๋๋ฅผ ๋ณํํ๊ณ ๋ฉ๋ชจ๋ฆฌ์์ ์์ฒด์ ์ผ๋ก ์คํ๋ฉ๋๋ค. ์ด ironman.exe ๋ฒ์ ์ ์ ์ฑ์ด๋ฉฐ ์ํธํ๋ฅผ ๋ด๋นํฉ๋๋ค.
๊ณต๊ฒฉ ๋ฒกํฐ
ํ์ฌ Nemty ๋์ฌ์จ์ด๋ pp-back.info ์น์ฌ์ดํธ๋ฅผ ํตํด ์ ํฌ๋๊ณ ์์ต๋๋ค.
๊ฐ์ผ์ ์ ์ฒด ์ฌ์ฌ์ ๋ค์์์ ๋ณผ ์ ์์ต๋๋ค.
์ค์น
Cashback.exe - ๊ณต๊ฒฉ์ ์์์ ๋๋ค. ์ด๋ฏธ ์ธ๊ธํ๋ฏ์ด cashback.exe๋ ํฌํจ๋ .cab ํ์ผ์ ์์ถ์ ํ๋๋ค. ๊ทธ๋ฐ ๋ค์ %TEMP%IXxxx.TMP ํ์์ TMP4351$.TMP ํด๋๋ฅผ ์์ฑํฉ๋๋ค. ์ฌ๊ธฐ์ xxx๋ 001๋ถํฐ 999๊น์ง์ ์ซ์์ ๋๋ค.
๋ค์์ผ๋ก ๋ค์๊ณผ ๊ฐ์ ๋ ์ง์คํธ๋ฆฌ ํค๊ฐ ์ค์น๋ฉ๋๋ค.
โrundll32.exeโ โC:Windowssystem32advpack.dll,DelNodeRunDLL32 โC:UsersMALWAR~1AppDataLocalTempIXPxxx.TMPโโ
์์ถ์ด ํ๋ฆฐ ํ์ผ์ ์ญ์ ํ๋ ๋ฐ ์ฌ์ฉ๋ฉ๋๋ค. ๋ง์ง๋ง์ผ๋ก cashback.exe๋ temp.exe ํ๋ก์ธ์ค๋ฅผ ์์ํฉ๋๋ค.
Temp.exe๋ ๊ฐ์ผ ์ฒด์ธ์ ๋ ๋ฒ์งธ ๋จ๊ณ์
๋๋ค.
์ด๋ ๋ฐ์ด๋ฌ์ค ์คํ์ ๋ ๋ฒ์งธ ๋จ๊ณ์ธ cashback.exe ํ์ผ์ ์ํด ์์๋๋ ํ๋ก์ธ์ค์ ๋๋ค. Windows์์ ์คํฌ๋ฆฝํธ๋ฅผ ์คํํ๊ธฐ ์ํ ๋๊ตฌ์ธ AutoHotKey๋ฅผ ๋ค์ด๋ก๋ํ๊ณ PE ํ์ผ์ ๋ฆฌ์์ค ์น์ ์ ์๋ WindowSpy.ahk ์คํฌ๋ฆฝํธ๋ฅผ ์คํํ๋ ค๊ณ ํฉ๋๋ค.
WindowSpy.ahk ์คํฌ๋ฆฝํธ๋ RC4 ์๊ณ ๋ฆฌ์ฆ๊ณผ ๋น๋ฐ๋ฒํธ IwantAcake๋ฅผ ์ฌ์ฉํ์ฌ ironman.exe์ ์์ ํ์ผ์ ํด๋
ํฉ๋๋ค. MD5 ํด์ฑ ์๊ณ ๋ฆฌ์ฆ์ ์ฌ์ฉํ์ฌ ๋น๋ฐ๋ฒํธ์ ํค๋ฅผ ์ป์ต๋๋ค.
temp.exe๋ ironman.exe ํ๋ก์ธ์ค๋ฅผ ํธ์ถํฉ๋๋ค.
Ironman.exe - ์ธ ๋ฒ์งธ ๋จ๊ณ
Ironman.exe๋ iron.bmp ํ์ผ์ ๋ด์ฉ์ ์ฝ๊ณ ๋ค์์ ์คํ๋ cryptolocker๊ฐ ํฌํจ๋ iron.txt ํ์ผ์ ์์ฑํฉ๋๋ค.
๊ทธ ํ ๋ฐ์ด๋ฌ์ค๋ iron.txt๋ฅผ ๋ฉ๋ชจ๋ฆฌ์ ๋ก๋ํ๊ณ ironman.exe๋ก ๋ค์ ์์ํฉ๋๋ค. ๊ทธ ํ iron.txt๊ฐ ์ญ์ ๋ฉ๋๋ค.
ironman.exe๋ ์ํฅ์ ๋ฐ๋ ์ปดํจํฐ์ ํ์ผ์ ์ํธํํ๋ NEMTY ๋์ฌ์จ์ด์ ์ฃผ์ ๋ถ๋ถ์ ๋๋ค. ์ ์ฑ ์ฝ๋๋ ์ฆ์ค๋ผ๋ ๋ฎคํ ์ค๋ฅผ ์์ฑํฉ๋๋ค.
๊ฐ์ฅ ๋จผ์ ํ๋ ์ผ์ ์ปดํจํฐ์ ์ง๋ฆฌ์ ์์น๋ฅผ ๊ฒฐ์ ํ๋ ๊ฒ์
๋๋ค. Nemty๋ ๋ธ๋ผ์ฐ์ ๋ฅผ ์ด๊ณ IP๋ฅผ ์ฐพ์ต๋๋ค.
- ๋ฌ์์
- Byelorussia
- ์ฐํฌ๋ผ์ด๋
- ์์์์์์๋ ์๋ จ ๋ฐฉ์ ํ ๊ณตํ๊ตญ
- ํ์งํค์คํ
๋๋ถ๋ถ์ ๊ฒฝ์ฐ ๊ฐ๋ฐ์๋ ๊ฑฐ์ฃผ ๊ตญ๊ฐ์ ๋ฒ ์งํ ๊ธฐ๊ด์ ๊ด์ฌ์ ๋๊ธฐ๋ฅผ ์ํ์ง ์์ผ๋ฏ๋ก "๋ณธ๊ตญ" ๊ดํ ๊ถ์ ํ์ผ์ ์ํธํํ์ง ์์ต๋๋ค.
ํผํด์์ IP ์ฃผ์๊ฐ ์ ๋ชฉ๋ก์ ์ํ์ง ์์ผ๋ฉด ๋ฐ์ด๋ฌ์ค๋ ์ฌ์ฉ์์ ์ ๋ณด๋ฅผ ์ํธํํฉ๋๋ค.
ํ์ผ ๋ณต๊ตฌ๋ฅผ ๋ฐฉ์งํ๊ธฐ ์ํด ํด๋น ์๋ ๋ณต์ฌ๋ณธ์ด ์ญ์ ๋ฉ๋๋ค.
๊ทธ๋ฐ ๋ค์ ์ํธํ๋์ง ์์ ํ์ผ ๋ฐ ํด๋ ๋ชฉ๋ก๊ณผ ํ์ผ ํ์ฅ์ ๋ชฉ๋ก์ ์์ฑํฉ๋๋ค.
- ์ฐฝ
- $ RECYCLE.BIN
- RSA
- NTDETECT.COM
- ntldr
- MSDOS.SYS
- ์์ด์ค์์ค
- boot.ini AUTOEXEC.BAT ntuser.dat
- ์๋ Desktop.ini
- CONFIG.SYS
- BOOTSECT.BAK
- BOOTMGR
- ํ๋ก๊ทธ๋จ ๋ฐ์ดํฐ
- ์ฑ ๋ฐ์ดํฐ
- ์ค์ํํธ
- ๊ณตํต ํ์ผ
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
๋์ฒ
URL ๋ฐ ๋ด์ฅ๋ ๊ตฌ์ฑ ๋ฐ์ดํฐ๋ฅผ ์จ๊ธฐ๊ธฐ ์ํด Nemty๋ fuckav ํค์๋์ ํจ๊ป base64 ๋ฐ RC4 ์ธ์ฝ๋ฉ ์๊ณ ๋ฆฌ์ฆ์ ์ฌ์ฉํฉ๋๋ค.
CryptStringToBinary๋ฅผ ์ด์ฉํ ๋ณตํธํ ๊ณผ์ ์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
์ํธํ
Nemty๋ XNUMX๊ณ์ธต ์ํธํ๋ฅผ ์ฌ์ฉํฉ๋๋ค.
- ํ์ผ์ฉ AES-128-CBC. 128๋นํธ AES ํค๋ ๋ฌด์์๋ก ์์ฑ๋๋ฉฐ ๋ชจ๋ ํ์ผ์ ๋์ผํ๊ฒ ์ฌ์ฉ๋ฉ๋๋ค. ์ด๋ ์ฌ์ฉ์ ์ปดํจํฐ์ ๊ตฌ์ฑ ํ์ผ์ ์ ์ฅ๋ฉ๋๋ค. IV๋ ๊ฐ ํ์ผ์ ๋ํด ๋ฌด์์๋ก ์์ฑ๋์ด ์ํธํ๋ ํ์ผ์ ์ ์ฅ๋ฉ๋๋ค.
- ํ์ผ ์ํธํ์ฉ RSA-2048 IV. ์ธ์ ์ ๋ํ ํค ์์ด ์์ฑ๋ฉ๋๋ค. ์ธ์ ์ ๊ฐ์ธ ํค๋ ์ฌ์ฉ์ ์ปดํจํฐ์ ๊ตฌ์ฑ ํ์ผ์ ์ ์ฅ๋ฉ๋๋ค.
- RSA-8192. ๋ง์คํฐ ๊ณต๊ฐ ํค๋ ํ๋ก๊ทธ๋จ์ ๋ด์ฅ๋์ด ์์ผ๋ฉฐ RSA-2048 ์ธ์ ์ ๋ํ AES ํค์ ๋น๋ฐ ํค๋ฅผ ์ ์ฅํ๋ ๊ตฌ์ฑ ํ์ผ์ ์ํธํํ๋ ๋ฐ ์ฌ์ฉ๋ฉ๋๋ค.
- Nemty๋ ๋จผ์ 32๋ฐ์ดํธ์ ๋ฌด์์ ๋ฐ์ดํฐ๋ฅผ ์์ฑํฉ๋๋ค. ์ฒ์ 16๋ฐ์ดํธ๋ AES-128-CBC ํค๋ก ์ฌ์ฉ๋ฉ๋๋ค.
๋ ๋ฒ์งธ ์ํธํ ์๊ณ ๋ฆฌ์ฆ์ RSA-2048์
๋๋ค. ํค ์์ CryptGenKey() ํจ์์ ์ํด ์์ฑ๋๊ณ CryptImportKey() ํจ์์ ์ํด ๊ฐ์ ธ์ต๋๋ค.
์ธ์
์ ๋ํ ํค ์์ด ์์ฑ๋๋ฉด ๊ณต๊ฐ ํค๋ฅผ MS ์ํธํ ์๋น์ค ๊ณต๊ธ์๋ก ๊ฐ์ ธ์ต๋๋ค.
์ธ์
์ ๋ํด ์์ฑ๋ ๊ณต๊ฐ ํค์ ์:
๋ค์์ผ๋ก ๊ฐ์ธ ํค๋ฅผ CSP๋ก ๊ฐ์ ธ์ต๋๋ค.
์ธ์
์ ๋ํด ์์ฑ๋ ๊ฐ์ธ ํค์ ์:
๋ง์ง๋ง์ผ๋ก RSA-8192๊ฐ ๋์ต๋๋ค. ๊ธฐ๋ณธ ๊ณต๊ฐ ํค๋ PE ํ์ผ์ .data ์น์
์ ์ํธํ๋ ํ์(Base64 + RC4)์ผ๋ก ์ ์ฅ๋ฉ๋๋ค.
base8192 ๋์ฝ๋ฉ ๋ฐ fuckav ๋น๋ฐ๋ฒํธ๋ฅผ ์ฌ์ฉํ RC64 ๋ณตํธํ ํ์ RSA-4 ํค๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
๊ฒฐ๊ณผ์ ์ผ๋ก ์ ์ฒด ์ํธํ ํ๋ก์ธ์ค๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
- ๋ชจ๋ ํ์ผ์ ์ํธํํ๋ ๋ฐ ์ฌ์ฉํ 128๋นํธ AES ํค๋ฅผ ์์ฑํฉ๋๋ค.
- ๊ฐ ํ์ผ์ ๋ํด IV๋ฅผ ๋ง๋ญ๋๋ค.
- RSA-2048 ์ธ์ ์ ๋ํ ํค ์์ ์์ฑํฉ๋๋ค.
- base8192 ๋ฐ RC64๋ฅผ ์ฌ์ฉํ์ฌ ๊ธฐ์กด RSA-4 ํค๋ฅผ ํด๋ ํฉ๋๋ค.
- ์ฒซ ๋ฒ์งธ ๋จ๊ณ๋ถํฐ AES-128-CBC ์๊ณ ๋ฆฌ์ฆ์ ์ฌ์ฉํ์ฌ ํ์ผ ๋ด์ฉ์ ์ํธํํฉ๋๋ค.
- RSA-2048 ๊ณต๊ฐ ํค ๋ฐ base64 ์ธ์ฝ๋ฉ์ ์ฌ์ฉํ IV ์ํธํ.
- ์ํธํ๋ ๊ฐ ํ์ผ์ ๋์ ์ํธํ๋ IV๋ฅผ ์ถ๊ฐํฉ๋๋ค.
- AES ํค์ RSA-2048 ์ธ์ ๊ฐ์ธ ํค๋ฅผ ๊ตฌ์ฑ์ ์ถ๊ฐํฉ๋๋ค.
- ์น์
์ ์ค๋ช
๋ ๊ตฌ์ฑ ๋ฐ์ดํฐ
์ ๋ณด ์์ง ๊ฐ์ผ๋ ์ปดํจํฐ์ ๋ํ ์ ๋ณด๋ ๊ธฐ๋ณธ ๊ณต๊ฐ ํค RSA-8192๋ฅผ ์ฌ์ฉํ์ฌ ์ํธํ๋ฉ๋๋ค. - ์ํธํ๋ ํ์ผ์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค.
์ํธํ๋ ํ์ผ์ ์:
๊ฐ์ผ๋ ์ปดํจํฐ์ ๋ํ ์ ๋ณด ์์ง
๋์ฌ์จ์ด๋ ๊ฐ์ผ๋ ํ์ผ์ ์ํธ๋ฅผ ํด๋ ํ๊ธฐ ์ํด ํค๋ฅผ ์์งํ๋ฏ๋ก ๊ณต๊ฒฉ์๋ ์ค์ ๋ก ์ํธ ํด๋ ๊ธฐ๋ฅผ ๋ง๋ค ์ ์์ต๋๋ค. ๋ํ Nemty๋ ์ฌ์ฉ์ ์ด๋ฆ, ์ปดํจํฐ ์ด๋ฆ, ํ๋์จ์ด ํ๋กํ๊ณผ ๊ฐ์ ์ฌ์ฉ์ ๋ฐ์ดํฐ๋ฅผ ์์งํฉ๋๋ค.
GetLogicalDrives(), GetFreeSpace(), GetDriveType() ํจ์๋ฅผ ํธ์ถํ์ฌ ๊ฐ์ผ๋ ์ปดํจํฐ์ ๋๋ผ์ด๋ธ์ ๋ํ ์ ๋ณด๋ฅผ ์์งํฉ๋๋ค.
์์ง๋ ์ ๋ณด๋ ๊ตฌ์ฑ ํ์ผ์ ์ ์ฅ๋ฉ๋๋ค. ๋ฌธ์์ด์ ๋์ฝ๋ฉํ๋ฉด ๊ตฌ์ฑ ํ์ผ์ ๋งค๊ฐ๋ณ์ ๋ชฉ๋ก์ด ํ์๋ฉ๋๋ค.
๊ฐ์ผ๋ ์ปดํจํฐ์ ๊ตฌ์ฑ ์:
๊ตฌ์ฑ ํ
ํ๋ฆฟ์ ๋ค์๊ณผ ๊ฐ์ด ๋ํ๋ผ ์ ์์ต๋๋ค.
{"์ผ๋ฐ": {"IP":"[IP]", "๊ตญ๊ฐ":"[๊ตญ๊ฐ]", "์ปดํจํฐ ์ด๋ฆ":"[์ปดํจํฐ ์ด๋ฆ]", "์ฌ์ฉ์ ์ด๋ฆ":"[์ฌ์ฉ์ ์ด๋ฆ]", "OS": "[OS]", "isRU":false, "๋ฒ์ ":"1.4", "CompID":"{[CompID]}", "ํ์ผ ID":"_NEMTY_[ํ์ผ ID]_", "UserID":"[ ์ฌ์ฉ์ID]", "ํค":"[ํค]", "pr_key":"[pr_key]
Nemty๋ ์์ง๋ ๋ฐ์ดํฐ๋ฅผ JSON ํ์์ผ๋ก %USER%/_NEMTY_.nemty ํ์ผ์ ์ ์ฅํฉ๋๋ค. FileID๋ 7์ ๊ธธ์ด๋ก ๋ฌด์์๋ก ์์ฑ๋ฉ๋๋ค. ์: _NEMTY_tgdLYrd_.nemty. FileID๋ ์ํธํ๋ ํ์ผ์ ๋์๋ ์ถ๊ฐ๋ฉ๋๋ค.
๋ชธ๊ฐ ๋ฉ์์ง
ํ์ผ์ ์ํธํํ๋ฉด _NEMTY_[FileID]-DECRYPT.txt ํ์ผ์ด ๋ค์ ๋ด์ฉ๊ณผ ํจ๊ป ๋ฐ์คํฌํ์ ๋ํ๋ฉ๋๋ค.
ํ์ผ ๋์๋ ๊ฐ์ผ๋ ์ปดํจํฐ์ ๋ํ ์ํธํ๋ ์ ๋ณด๊ฐ ์์ต๋๋ค.
๋คํธ์ํฌ ํต์
ironman.exe ํ๋ก์ธ์ค๋ ๋ค์ ์ฃผ์์์ Tor ๋ธ๋ผ์ฐ์ ๋ฐฐํฌํ์ ๋ค์ด๋ก๋ํฉ๋๋ค.
๊ทธ๋ฐ ๋ค์ Nemty๋ ์๋ํ๋ Tor ๋ธ๋ผ์ฐ์ ํ๋ก์๋ฅผ ์ฐพ์ ๊ฒ์ผ๋ก ์์๋๋ 127.0.0.1:9050์ผ๋ก ๊ตฌ์ฑ ๋ฐ์ดํฐ๋ฅผ ๋ณด๋ด๋ ค๊ณ ์๋ํฉ๋๋ค. ๊ทธ๋ฌ๋ ๊ธฐ๋ณธ์ ์ผ๋ก Tor ํ๋ก์๋ ํฌํธ 9150์์ ์์ ๋๊ธฐํ๋ฉฐ ํฌํธ 9050์ Linux์ Tor ๋ฐ๋ชฌ์ด๋ Windows์ Expert Bundle์์ ์ฌ์ฉ๋ฉ๋๋ค. ๋ฐ๋ผ์ ๊ณต๊ฒฉ์์ ์๋ฒ๋ก ๋ฐ์ดํฐ๊ฐ ์ ์ก๋์ง ์์ต๋๋ค. ๋์ ์ฌ์ฉ์๋ ๋์ฌ ๋ฉ์์ง์ ์ ๊ณต๋ ๋งํฌ๋ฅผ ํตํด Tor ๋ณตํธํ ์๋น์ค๋ฅผ ๋ฐฉ๋ฌธํ์ฌ ๊ตฌ์ฑ ํ์ผ์ ์๋์ผ๋ก ๋ค์ด๋ก๋ํ ์ ์์ต๋๋ค.
Tor ํ๋ก์์ ์ฐ๊ฒฐ:
HTTP GET์ 127.0.0.1:9050/public/gate?data=์ ๋ํ ์์ฒญ์ ์์ฑํฉ๋๋ค.
์ฌ๊ธฐ์์ TORlocal ํ๋ก์๊ฐ ์ฌ์ฉํ๋ ์ด๋ฆฐ TCP ํฌํธ๋ฅผ ๋ณผ ์ ์์ต๋๋ค.
Tor ๋คํธ์ํฌ์ Nemty ์ํธ ํด๋
์๋น์ค:
์ํธํ๋ ์ฌ์ง(jpg, png, bmp)์ ์
๋ก๋ํ์ฌ ๋ณตํธํ ์๋น์ค๋ฅผ ํ
์คํธํ ์ ์์ต๋๋ค.
์ดํ ๊ณต๊ฒฉ์๋ ๋ชธ๊ฐ์ ์๊ตฌํฉ๋๋ค. ๋ฏธ๋ฉ์ ๊ฒฝ์ฐ ๊ฐ๊ฒฉ์ XNUMX๋ฐฐ๊ฐ ๋ฉ๋๋ค.
๊ฒฐ๋ก
ํ์ฌ๋ก์๋ ๋ชธ๊ฐ์ ์ง๋ถํ์ง ์๊ณ Nemty๋ก ์ํธํ๋ ํ์ผ์ ํด๋ ํ๋ ๊ฒ์ด ๋ถ๊ฐ๋ฅํฉ๋๋ค. ์ด ๋ฒ์ ์ ๋์ฌ์จ์ด์๋ Buran ๋์ฌ์จ์ด ๋ฐ ์ค๋๋ GandCrab๊ณผ ๊ณตํต๋ ๊ธฐ๋ฅ์ด ์์ต๋๋ค. ์ฆ, Borland Delphi์ ์ปดํ์ผ๊ณผ ๋์ผํ ํ ์คํธ๊ฐ ํฌํจ๋ ์ด๋ฏธ์ง์ ๋๋ค. ๋ํ ์ด๊ฒ์ 8092๋นํธ RSA ํค๋ฅผ ์ฌ์ฉํ๋ ์ต์ด์ ์ํธํ๊ธฐ์ธ๋ฐ, ์ด๋ 1024๋นํธ ํค๋ก๋ ๋ณดํธํ๊ธฐ์ ์ถฉ๋ถํ๋ฏ๋ก ์๋ฏธ๊ฐ ์์ต๋๋ค. ๋ง์ง๋ง์ผ๋ก ํฅ๋ฏธ๋กญ๊ฒ๋ ๋ก์ปฌ Tor ํ๋ก์ ์๋น์ค์ ์๋ชป๋ ํฌํธ๋ฅผ ์ฌ์ฉํ๋ ค๊ณ ์๋ํฉ๋๋ค.
๊ทธ๋ฌ๋ ์๋ฃจ์
์ถ์ฒ : habr.com