NiceRAT 악성코드를 설치하는 봇넷
1. 개요
AhnLab Security intelligence Center(ASEC) 에서는 2019년부터 유행하던 봇넷을 통해 최근까지 NiceRAT 악성코드가 설치되는 것을 확인하였다. 봇넷은 악성코드에 감염되어 공격자에 의해 제어되는 집단으로 과거에는 공격자가 주로 봇넷을 이용한 DDoS 공격을 수행하여, Nitol과 같은 DDoS 공격에 사용되는 악성코드를 봇넷을 구성하는 주요 악성코드로 주목하였다. 하지만 최근에는 NanoCore와 이모텟 악성코드와 같이 데이터 유출, 추가 악성코드 설치와 같은 기능을 수행하는 악성코드도 봇넷 구축에 다수 활용되고 있다.
2. 봇넷 구축 방식
봇넷은 앞서 언급한 바와 같이 공격자에 의해 제어되는 집단이므로 넓은 범위로 유포되는 경우가 많다. 공격자는 이를 위해 국내 파일 공유 사이트나 블로그를 통해서 윈도우, 오피스 정품 인증 도구나 게임 프리 서버를 위장하여 악성코드를 유포하며, 이러한 유포 방식은 수년전부터 꾸준히 사용되어왔다. [1]
[그림 1]은 게임 프리 서버로 위장하여 NanoCore 악성코드를 생성하는 악성코드 실행 시에 확인되는 화면이다. 해당 악성코드 실행 시, %SystemRoot%\rip\lineage1\exploekr.exe 경로에 NanoCore 악성코드를 생성하며, 실행된 NanoCore 악성코드는 IAMP Service, SMTP Service 명으로 작업스케줄 등록을 수행한다.
위에 언급했듯이 봇넷은 윈도우 정품 인증 도구를 위장한 악성코드를 통해 구축되기도 한다. AhnLab Security intelligence Center(ASEC)은 개인블로그를 통해 유포되는 NanoCore 악성코드를 확인하였으며, 블로그 작성 시점 기준으로 최근까지 접속 및 다운로드가 가능한 것을 확인할 수 있다.
3. 봇넷을 통한 추가 악성코드 설치
AhnLab Security intelligence Center(ASEC)은 과거 블로그에서 Nitol 악성코드를 통해 Amadey Bot 악성코드가 유포된 사례를 소개한 바 있다. [2] 해당 사례에서 Nitol 악성코드가 유포된지 1년이 넘은 시점에서도 Amadey Bot 악성코드 유포에 사용된 것을 확인할 수 있는데, 이번에 소개할 NiceRAT 악성코드 역시 오랜 기간에 걸쳐 존재하는 봇넷에 의해 설치된 것을 확인할 수 있다.
[그림 2]는 NiceRAT을 설치하는 다른 해쉬의 악성코드를 보여주는 자사 ASD(AhnLab Smart Defense) 인프라 로그이다. NiceRAT 악성코드를 설치하는 프로세스는 주로 봇넷을 구성하는 NanoCore 악성코드이며, [표 1]과 같이 유사한 C&C 서버와 통신하는 것을 확인할 수 있다.
| Name | C&C 서버 |
| svvss.exe | gandigod.ddns[.]net:3255 |
| system245.exe | gandigod.ddns[.]net:5407 |
| coremm.exe | gandigod1.ddns[.]net:3255 |
| ixpoer.exe | gandigod1.ddns[.]net:3255 |
[표 1] NiceRAT을 설치하는 봇넷형 악성코드의 C&C 서버
일반적으로 추가 악성코드를 다운로드하는 경우, 유포 시점으로부터 오랜 시간이 경과한 경우에 C&C 서버가 차단되어 다운로더의 기능을 수행하지 못하는 경우가 많다. 하지만 봇넷 유형의 악성코드의 경우 오랜 시간이 지난 후에도 주기적으로 추가 악성코드를 설치하는 사례를 확인할 수 있다. [그림 3]는 NiceRAT 악성코드를 설치하는 NanoCore 악성코드이다. 해당 악성코드는 2019년부터 최근까지 NiceRAT 악성코드 뿐만 아니라, Nitol 악성코드도 활발히 설치하는 것을 확인할 수 있다.
4. NiceRAT
NiceRAT는 Python 언어로 작성된 오픈 소스 기반 프로그램이다.
NiceRAT은 지속성 유지를 위해 안티 디버깅 탐지, 가상 머신 탐지, 시작 프로그램 등록과 같은 기능을 수행한다. 또한, hxxps://api.ipify[.]org에 접근하여 해당 시스템의 IP 정보를 수집하고 이를 위치 정보 수집에 활용한다.
이 후, 시스템 정보, 브라우저 정보, 암호 화폐 정보를 수집하여 공격자에게 수집된 정보를 유출하고, 디스코드를 C&C 서버로 활용하여 통신하는 특징이 있다.
- C&C 서버: hxxps://discord[.]com/api/webhooks/1241518194691280966/tDcIZkMJSrBlrb0PjY98f6vjRIpIa489tkwC5M9GdJFAzOG4-yLh99uzd7gvAG5ZYa3G
5. 결론
국내 사용자들을 대상으로 크랙을 위장한 악성코드 유포는 결국 공격자의 봇넷 구축으로 이어져왔다. 크랙 프로그램은 특성상 최초 유포자가 아닌 일반 이용자들의 정보 공유를 통해 유포되는 경우도 많으며, 일반적으로 유포 과정에서 백신 프로그램을 제거하는 과정을 설명하여 탐지가 어려운 것이 특징이다. 그 결과, 공격자는 오래 전에 구축한 봇넷을 통해 새로운 악성코드를 최근까지 편리하게 설치하는 사례가 지속적으로 늘어나고 있다.
사용자는 자료 공유 사이트, 블로그와 같은 경로에서 다운로드 받은 크랙 프로그램 실행을 주의해야 한다. 또한, 이미 감염된 시스템의 경우 V3 제품을 설치하여 주로 봇넷형 악성코드가 등록되어 있는 작업 스케줄러를 치료하여 지속적인 악성코드 감염을 막아야 한다.
안랩 V3 제품군에서는 본문에서 소개한 유형의 악성 파일들에 대해 아래와 같이 진단하고 있다.
[파일 진단]
– Backdoor/Win.NiceRAT.C5626512(2024.05.27.02)
– Backdoor/Win32.Nitol.R156318 (2015.07.05.04)
– Backdoor/Win.NiceRAT.C5625917(2024.05.26.03)
– Trojan/Win.Nanobot.C5210720(2022.07.19.00)
– Backdoor/Win.AsyncRAT.C5625919(2024.05.26.03)
– Trojan/Win.Generic.R628608 (2023.12.22.01)
– Trojan/Win.Generic.C4748805(2021.11.02.01)
– Trojan/Win.NanoCore.C5627471(2024.05.29.00)
– Dropper/Win.NANOCORE.C3020440(2024.05.26.03)
– Trojan/Win32.Agent.C3452224(2019.08.31.01)
– Backdoor/Win.NanoCore.C5625916(2024.05.26.03)
– Backdoor/Win.NanoCore.C5625920(2024.05.26.03)
– Trojan/Win32.Rbot.R171937(2016.01.11.07)
– Malware/Win32.Generic.C2999777(2019.02.07.04)
– Backdoor/Win.NanoCore.C5625923 (2024.05.26.03)
– Malware/Gen.Generic.C2901177(2018.12.23.01)
– Trojan/Win32.Generic.C2812697(2018.11.07.01)
– Trojan/Win32.Generic.C2812698(2018.11.07.01)
– Backdoor/Win.Nitol.C5625921(2024.05.26.03)
– Trojan/Win32.Agent.C2116237(2017.09.03.09)
– Dropper/Win32.Agent.C2457947(2018.04.10.06)
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
