Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Bozok RAT 분석
작성일 2017-07-07 조회 1640

※ 해당 내역은 1월 20일 시큐어캐스트에 공개한 보고서(AW17-0002)를 기반으로 외부 공개용으로 작성

 

개요
BozokRAT(Remote Administration Tool)에 의해 생성된 악성 파일이 일반 Host에 감염이 되면서 악성 행위를 시작한다. 
감염이 될 경우, 원격 조정이 가능한 BozokRAT이 설치되어 있는 C&C 서버와 주기적으로 통신을 하며, 악성 행위를 진행한다. 
악성 행위로는 공격자의 명령에 의해 Keylogging, 파일 송/수신, 원격 조정/모니터링, 웹캠 및 사운드 도청 등 감염 PC를 사용자에게 은닉하여 각종 데이터를 탈취한다
공격자의 의도에 따라 사용자의 데이터 자산 등의 탈취로 인한 2차 범죄가 예상될 수 있다. 

 

분석
해당 RAT는 지속적으로 많이 사용되고 있다. 비트코인을 통해 Personal, Ultimate 버전으로 변환이 가능하며 다양한 기능을 추가적으로 사용 할 수 있다.

 

[그림1. 비트코인으로 구매 가능 버전]

 

[그림2. 감염 화면 및 RAT 기능 내역]

 

일반 Host 가 감염시에 3 way Handshaking  이후 C2 서버는 특정 패킷을 감염 PC로 전송하게 된다.
-> 전송되는 데이터는 암호의 string 마다 앞에 00 붙인 후의 데이터길이(4바이트) + x00 + 암호스트링 + x00x00

 

[그림3. C2 서버에서 발생되는 초기 패킷]

 

C2 서버 접속에 성공하면, 악성코드는 가장 먼저 감염 PC의 사용자 정보, 활성화된 윈도우, 운영체제, 국가 코드 등을 평문으로 전송한다.
이 후 악성코드는 C2 서버와 접속을 유지하며 명령을 기다린다.

 

[그림4. 감염 PC 정보 가공]

 

해당 악성코드는 플러그인으로 추가된 기능들 외에도 기본적인 행위들이 있다. 아래 표는 본 악성코드의 명령 코드에 따른 행위이다.

 

[표1. 명령 코드 내역]

 

대응방안
1) Sniper IPS 에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS 패턴블럭] : 3563, Win32/Backdoor.BozokRAT.PluginInstall

 

2) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 

첨부파일 첨부파일이 없습니다.
태그