rat

스팸 메일로 유포되는 닷넷 다운로더 악성코드

ASEC 주간 악성코드 통계에 따르면 최근 유포되고 있는 악성코드들 다수가 인포스틸러(정보 유출형 악성코드) 및 RAT(Remote Administration Tool) 악성코드들이다. 이러한 인포스틸러 및 RAT의 상당수는 스팸 메일을 통해 유포되며, 대부분 사용자가 첨부 파일을 실행시키도록 유도하는 방식이 사용된다. 공격자는 스팸 메일의 첨부 파일을 이용해 악성코드를 유포할 때 백신의 파일 진단을 우회하기 위한 목적으로 악성코드의 외형을 패커로 패킹한다. 즉 실제 악성코드는 이미 백신에 의해 탐지된다고 하더라도 패킹될 경우에는 매번 다른 형태의 외형을 가지게 되며, 이에 따라 파일 진단을 우회할 수 있다. 이렇게 파일 진단을…

메신저 프로그램으로 위장한 악성코드 주의

안랩에서는 최근 특정 정부의 지원을 받는 해킹그룹의 공격 활동을 포착하여 이를 알아보고자 한다. 발견된 위장 프로그램은 정상 페이지로 위장한 피싱 페이지나 공급망 공격을 통해 유포된다. 메신저 설치 파일은 다음과 같이 NSIS를 사용하여 제작된 윈도우 운영체제 설치 프로그램이다. NSIS(Nullsoft Scriptable Install System) 널소프트(Nullsoft)사가 제작한 프로그램으로 스크립트 기반의 윈도우 운영체제용 설치 프로그램을 제작할 수 있는 도구 표 1. 용어 설명 (NSIS) NSIS를 사용하여 제작된 설치 프로그램은 파일 내부에 스크립트 파일 ‘[NSIS].nsi’이 존재한다. 스크립트 파일에 기록된 명령에 따라 시스템에 파일을 생성하면서 프로그램이 설치되는…

스팸 메일로 유포 중인 NanoCore RAT 악성코드

NanoCore는 RAT(Remote Administration Tool) 악성코드로서 개발자가 과거 2014년부터 제작하기 시작했고 2016년 체포되기 전까지 딥웹을 통해 판매되었다. 하지만 크랙 버전이 공개됨에 따라 개발자가 체포된 후에도 현재까지 꾸준히 공격자들에 의해 사용되고 있다. RAT 악성코드인 NanoCore는 키로깅, 스크린샷 캡쳐, 웹캠 제어와 같은 기능들뿐만 아니라 DDoS, 웹 브라우저 및 이메일 그리고 FTP 클라이언트 계정 정보 수집과 같은 다양한 기능들을 지원한다. NanoCore는 플러그인 기반 악성코드로서 위에서 언급한 거의 모든 기능들이 각각의 플러그인에 구현되어 있다. 즉 공격자가 어떠한 플러그인을 사용하느냐에 따라 다양한 기능들을 사용할 수 있는…

스팸 메일로 유포 중인 Remcos RAT 악성코드

Remcos는 RAT(Remote Administration Tool) 악성코드로서 수년 전부터 스팸 메일을 통해 꾸준히 유포되고 있다. Remcos는 제작자가 아래와 같은 웹 사이트를 통해 원격 관리를 위한 RAT 도구로 설명하면서 판매하고 있으며 최신까지도 주기적으로 업데이트 되고 있다. Remcos 홈페이지에서 설명하는 기능들만 본다면 원격 지원을 위한 목적으로 또는 도난 시 민감한 데이터를 삭제하거나 추적하는 목적으로도 사용 가능하다고 적혀져 있다. 물론 이러한 기능들이 지원되는 것은 사실이다. 하지만 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어뿐만 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능과 같은…

스팸 메일로 유포 중인 AveMaria 악성코드

AveMaria 는 원격제어 기능의 RAT (Remote Administration Tool) 악성코드로서 C&C 서버에서 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다. 아래의 주간 통계에서도 확인 되듯이 Top 5 안에는 포함되지 않지만, 꾸준히 일정 비율을 차지하고 있다. AveMaria 악성코드는 최근 AgentTesla, Lokibot, Formbook 악성코드와 유사하게 대부분 스팸 메일을 통해 유포되고 있다. 또한 진단을 우회하기 위해 위의 악성코드들과 유사한 닷넷(.NET) 외형의 패커로 패킹되어 유포 중이다. 다음은 유포에 사용된 스팸 메일로서 아래와 같이 전형적인 견적 관련 스팸 메일이다. 첨부 파일을 확인해 보면 7z 및 zip…