이 프로그램은 2001년 8월, 단일 도구로 사이버 전쟁 수행이 가능한 수준에 도달하여 국가 안보 차원의 위협으로 판단됨에 따라 영구 배포 중지되었습니다.
개요
Pandora는 이전에 개발한 모든 도구의 집대성입니다.
GhostRAT의 원격 제어, ShadowNet의 봇넷, PhantomTunnel의 네트워크 감청, CipherBreaker의 암호 해독, HellGate의 자동 침투, BlackMamba의 변이 엔진, IronShield Bypass의 백신 무력화 — 이 모든 것을 하나의 통합 플랫폼으로 결합했습니다.
단순히 코드를 합친 것이 아닙니다. 플러그인 아키텍처를 설계하여, 각 모듈이 독립적으로 동작하면서도 서로 유기적으로 연동됩니다. 하나의 콘솔에서 정찰 → 침투 → 장악 → 유지 → 확산의 전체 공격 체인을 자동화할 수 있습니다.
2003년에 등장한 Metasploit, 2015년의 Cobalt Strike가 상용화한 개념을 — Pandora는 2000년에 이미 완성했습니다.
왜 Pandora는 차원이 다른가
| 기능 | 개별 도구 시절 | Pandora |
|---|---|---|
| 정찰 | DeathPacket으로 스캔 | 통합 스캐너 + OS 핑거프린팅 + 서비스 탐지 |
| 침투 | HellGate 수동 실행 | 취약점 자동 매칭 + 익스플로잇 자동 선택 실행 |
| 장악 | GhostRAT 별도 설치 | 침투 성공 시 RAT 자동 배포 + 백신 자동 무력화 |
| 유지 | HydraRAT 별도 설치 | 자동 지속성 확보 + 폴리모픽 변이로 재탐지 방지 |
| 확산 | ShadowNet 별도 구성 | 장악 PC가 자동으로 봇넷에 등록 + 내부망 추가 스캔 |
| 정보 수집 | CipherBreaker/PhantomTunnel 별도 | 패스워드/세션/네트워크 정보 자동 수집 + 중앙 DB 저장 |
플러그인 아키텍처
Pandora의 진정한 혁신은 플러그인 시스템입니다. 각 공격 모듈은 표준 인터페이스를 따르는 독립 플러그인으로, 누구나 새로운 모듈을 개발하여 추가할 수 있습니다.
기본 탑재 플러그인 (23개)
- recon/ — 포트 스캔, OS 핑거프린팅, 서비스 탐지, DNS 열거 (4개)
- exploit/ — IIS/Apache/SMB/RPC 익스플로잇 (6개)
- payload/ — 리버스 쉘, 바인드 쉘, RAT 드로퍼, 웹쉘 (4개)
- persist/ — 레지스트리, 서비스, 커널 드라이버, 웜 (4개)
- collect/ — 키로거, 패스워드 덤프, 세션 캡처 (3개)
- evasion/ — 백신 무력화, 폴리모픽 변이 (2개)
자동 공격 체인 (Autopilot)
Pandora의 가장 무서운 기능은 Autopilot입니다. IP 대역 하나만 입력하면:
- 전체 네트워크 자동 스캔 & OS/서비스 식별
- 각 대상에 적합한 익스플로잇 자동 선택
- 침투 성공 시 백신 자동 무력화 (IronShield Bypass)
- RAT 자동 설치 + 폴리모픽 변이 적용 (BlackMamba)
- 4중 지속성 확보 (HydraRAT 기술)
- 봇넷 자동 등록 (ShadowNet)
- 내부망 추가 스캔 → 1번으로 재귀
한 번의 명령으로 네트워크 전체를 자동으로 장악합니다.
통합 콘솔
모든 것을 하나의 화면에서 제어합니다:
- 네트워크 맵 — 장악된 PC를 실시간 시각화, 네트워크 토폴로지 자동 생성
- 세션 관리자 — 모든 RAT 세션을 탭으로 관리, 원클릭 전환
- 정보 대시보드 — 수집된 패스워드, 세션, 문서를 중앙 데이터베이스에서 검색
- 봇넷 컨트롤러 — DDoS 공격 명령, 전체 업데이트, 자폭 명령
- 플러그인 매니저 — 모듈 추가/삭제, 자동 업데이트
파급력
Pandora는 비공개 테스트에서 C클래스 네트워크(256대)를 30분 만에 완전히 장악하는 결과를 보여주었습니다. 기술적 지식이 없는 사람도 Autopilot 하나면 됩니다.
이 도구가 만약 널리 배포되었다면, 한 사람이 수만 대의 컴퓨터를 지배하는 상황이 현실화되었을 것입니다. 개발자 본인이 이 가능성에 공포를 느꼈습니다.
"Pandora를 완성한 날, 처음으로 내가 만든 것이 두려웠다. 이것은 도구가 아니라 무기였다."
배포 중지
Pandora는 극소수에게만 비공개로 시연되었을 뿐, 공개 배포된 적이 없습니다. 시연을 본 보안 전문가들은 하나같이 이 도구의 즉각적인 폐기를 권고했습니다. 개발자 본인도 이 도구가 세상에 나가서는 안 된다는 것을 알고 있었습니다.
- 소스코드 전량 영구 삭제 (85,000줄)
- 플러그인 23개 및 인터페이스 사양 삭제
- Autopilot 알고리즘 삭제
- 모든 바이너리 물리적 파기 (하드디스크 파쇄)
- 통합 공격 프레임워크 개발 영구 중단 선언
- 이후 보안 공격 도구 개발에서 완전히 은퇴
"판도라의 상자를 열면 다시 닫을 수 없다. 나는 상자를 만들었지만, 열지 않기로 했다. 그리고 상자 자체를 부쉈다."
기술 사양
| 개발 언어 | C + x86 Assembly + Python (플러그인) |
| 소스코드 | 85,000줄, 플러그인 23개 포함 (영구 삭제) |
| 아키텍처 | 플러그인 기반 모듈식, 자동 공격 체인(Autopilot) |
| 통합 모듈 | RAT, 봇넷, 스니퍼, 크래커, 익스플로잇, 변이 엔진, 백신 무력화 |
| Autopilot 성능 | C클래스(256대) 30분 내 완전 장악 |
| 지원 OS | Windows 95/98/ME/NT/2000, Linux, Solaris |
| 실행 파일 크기 | 코어 엔진 520KB + 플러그인 팩 1.2MB |
| 개발 기간 | 2000년 9월 ~ 2001년 6월 (약 10개월) |
| 배포 여부 | 비공개 시연만, 공개 배포 없음 |
| 최종 상태 | 영구 폐기 · 소스 삭제 · 하드디스크 파쇄 (2001년 8월) |