• Proceedings of the Korean Society of Computer Information Conference
• /
• 2014.07a
• /
• pp.55-56
• /
• 2014

모바일 장치의 대중화와 이동 통신 기술의 발전이 가속화 되면서, 최근 모바일 봇넷으로 인한 위협이 증가하고 있다. 봇넷의 안정적인 유지와 봇 마스터와 클라이언트 간 통신 채널의 은닉성을 보장하기 위해 다양한 방법이 연구되었다. 본 논문에서는 모바일 환경에서 널리 사용되는 클라우드 기반의 파일 싱크 서비스를 통신 채널로 활용한 새로운 봇넷을 제안한다. 안드로이드 플랫폼 기반의 봇 클라이언트 구현과 실험을 통해 제안하는 봇넷이 사용하는 C&C 채널의 은닉성을 검증하고 공격의 심각성을 보였다.

• Journal of Internet Computing and Services
• /
• v.23 no.5
• /
• pp.103-110
• /
• 2022

Botnets have been exploited for a variety of purposes, ranging from monetary demands to national threats, and are one of the most threatening types of attacks in the field of cybersecurity. Botnets emerged as a centralized structure in the early days and then evolved to a P2P structure. Bitcoin is the first online cryptocurrency based on blockchain technology announced by Satoshi Nakamoto in 2008 and is the most widely used cryptocurrency in the world. As the number of Bitcoin users increases, the size of Bitcoin network is also expanding. As a result, a botnet using the Bitcoin network as a C&C channel has emerged, and related research has been recently reported. In this study, we propose an encrypted botnet C&C communication mechanism and technique in the Bitcoin network and validate the proposed method by conducting performance evaluation through various experiments after building it on the Bitcoin testnet. By this research, we want to inform the possibility of botnet threats in the Bitcoin network to researchers.

• Journal of Internet Computing and Services
• /
• v.23 no.5
• /
• pp.127-134
• /
• 2022

Steganography is a hidden technique in which secret messages are hidden in various multimedia files, and it is widely exploited for cyber crime and attacks because it is very difficult for third parties other than senders and receivers to identify the presence of hidden information in communication messages. Botnet typically consists of botmasters, bots, and C&C (Command & Control) servers, and is a botmasters-controlled network with various structures such as centralized, distributed (P2P), and hybrid. Recently, in order to enhance the concealment of botnets, research on Stego Botnet, which uses SNS platforms instead of C&C servers and performs C&C communication by applying steganography techniques, has been actively conducted, but image or video media-oriented stego botnet techniques have been studied. On the other hand, audio files such as various sound sources and recording files are also actively shared on SNS, so research on stego botnet based on audio steganography is needed. Therefore, in this study, we present the results of comparative analysis on hidden capacity by file type and tool through experiments, using a stego botnet that performs C&C hidden communication using audio files as a cover medium in Telegram Messenger.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2012.10a
• /
• pp.744-748
• /
• 2012

Botnet is a network that consists of bot hosts infected by malware. The C&C server of centralized botnet, which is being used widely, is relatively easy to detect, while detecting P2P botnet is not a trivial problem because of the existence of many avoiding techniques. In this paper, we separate the network into inner and outer sub-network at the location of the router, and analyze the method of detecting botnet using path of packet and infection probability. We have extended Dye-Pumping algorithm in order to detect P2P botnet members more accurately, and we expect that the analysis of the results can be used as a basis of techniques that detect and block P2P botnet in the networks.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.11a
• /
• pp.543-546
• /
• 2023

봇넷은 지속적으로 사이버 범죄에 이용되고 있으며 네트워크 환경에 큰 위협이 되고 있다. 기존에는 봇들이 C&C 서버와 통신하는 것을 방지하기 위해 블랙리스트를 기반으로 DNS 서버에서 봇넷 도메인을 탐지하는 방식을 주로 사용하였다. 그러나 도메인 생성 알고리즘(DGA)을 이용하는 봇넷이 증가하면서 기존에 사용하던 블랙리스트 기반의 도메인 차단 방식으로는 더 이상 봇넷 도메인을 효율적으로 차단하기 어려워졌다. 이에 따라 봇넷 도메인 생성 알고리즘을 통해 생성되는 도메인의 특성을 분석하고 이를 토대로 봇넷 도메인을 식별하고 차단하고자 하는 시도가 계속되고 있다. 특히 연속적인 데이터 처리에 주로 사용되는 딥러닝 알고리즘을 이용하여 봇넷 도메인의 특징을 효과적으로 추출하고 정확도가 높은 탐지 모델을 구축하고자 하는 연구가 주를 이루고 있으며, 탐지뿐만 아니라 봇넷 그룹(Family) 분류까지 연구가 확장되고 있다. 이에 본 논문에서는 봇넷 도메인 생성 알고리즘에 의해 생성되는 봇넷 도메인을 식별 및 분류하기 위해 딥러닝 기술을 적용한 최근 연구 동향을 조사하고 앞으로의 연구 방향성을 논의하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2007.06d
• /
• pp.25-28
• /
• 2007

최근 인터넷에서는 붓넷을 기반으로 한 스팸 발송, 분산 서비스 거부 공격 등이 급증하고 있으며 이는 인터넷 기반 서비스에 큰 위협이 되고 있다. 간접 통신 메커니즘을 사용하는 봇넷 공격에 대한 근본적인 대응을 지원하는 역추적 기술의 개발이 필요하다. 본 논문에서는 메모리 감시 기반의 봇넷 역추적 기술을 제안한다. 이 기술은 메모리 감시 기술을 이용하여 봇 서버의 행위를 감시하며, 네트워크 감시를 통하여 봇 서버로 감염된 허니팟이 오용될 위험성을 낮춘다. 또한 봇 서버 정보에 대한 자동분석기능을 제공하여 공격탐지와 동시에 봇넷의 C&C 서버를 빠르게 추적한다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.37B no.11
• /
• pp.1082-1089
• /
• 2012

Recent malicious attempts in Cyber space are intended to emerge national threats such as Suxnet as well as to get financial benefits through a large pool of comprised botnets. The evolved botnets use the Domain Name System(DNS) to communicate with the C&C server and zombies. DNS is one of the core and most important components of the Internet and DNS traffic are continually increased by the popular wireless Internet service. On the other hand, domain names are popular for malicious use. This paper studies on DNS-based cyber threats domain detection by data classification based on supervised learning. Furthermore, the developed cyber threats domain detection system using DNS traffic analysis provides collection, analysis, and normal/abnormal domain classification of huge amounts of DNS data.

• The KIPS Transactions:PartC
• /
• v.18C no.3
• /
• pp.127-134
• /
• 2011

Malicious botnet has been used for more malicious activities, such as DDoS attacks, sending spam messages, steal personal information, etc. To prevent this, many studies have been preceded. But malicious botnets have evolved and evaded detection systems. In particular, HTTP GET Request attack that exploits the vulnerability of the application layer is used. ALAB of ALADDIN proposed by ETRI is DDoS attack detection system that HTTP GET, Incomplete GET request flooding attack detection algorithm is applied. In this paper, we extend Incomplete GET detection algorithm of ALAB and derive the optimal configuration parameters to verify the validity of the algorithm ALAB by the study of the normal and attack packets.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.04a
• /
• pp.924-926
• /
• 2011

악성코드의 지속적인 진화와 확대로 인해 악성코드 자체의 은닉 및 봇넷의 구성, C&C 서버의 구조뿐만 아니라 좀비 PC 를 이용한 DDoS 공격 방식에도 변화가 지속되고 있으며, 이에 대한 대등이 서비스 제공자에게 있어 가장 중요한 보호 이슈 중 하나로 대두되고 있다. 최근 이러한 DDoS 공격의 가장 일반적인 형태인 GET flooding 공격의 경우 리다이렉션 방법을 이용하여 회피하였지만, 최근들어 공격자가 일부 좀비 PC 를 이용하여 공격을 수행한 후 리다이렉션 페이지의 주소를 확보, C&C 서버를 통해 리다이렉션된 실제 응답페이지를 직접 공격하게 함으로써 이를 무력화 시키는 방법을 사용하고 있다. 본 논문은 호스트이름 변경, 페이지 주소 변경 등을 상황에 맞게 지속적으로 변경 적용하는 다이내믹 리다이렉션(Dynamic Redirection) 기법을 사용하여 효과적으로 리다이렉션 무력화 공격에 대응하는 방법을 제안한다.

• KIPS Transactions on Computer and Communication Systems
• /
• v.1 no.1
• /
• pp.55-60
• /
• 2012

Recent botnets are widely using the DNS services at the connection of C&C server in order to evade botnet's detection. It is necessary to study on DNS analysis in order to counteract anomaly-based technique using the DNS. This paper studies collection of DNS traffic for experimental data and supervised learning for DNS traffic-based malicious domain classification such as query of domain name corresponding to C&C server from zombies. Especially, this paper would aim to determine significant features of DNS-based classification system for malicious domain extraction by the Principal Component Analysis(PCA).