Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보JSpy RAT 분석
작성일 2017-07-07 조회 1186

 

개요
Win32/Backdoor.JSpyRAT.InitialConnection은 JSpyRAT(Remote Administration Tool)에 의해 생성된 악성 파일이 일반 Host에 감염이 되면서 악성 행위를 시작한다. 
감염이 될 경우, 원격 조정이 가능한 JSpyRAT이 설치되어 있는 C&C 서버와 주기적으로 통신을 하며, 악성 행위를 진행한다. 
악성 행위로는 공격자의 명령에 의해 Keylogging, 파일 송/수신, 원격 조정/모니터링, 웹캠 및 사운드 도청 등 감염 PC를 사용자에게 은닉하여 각종 데이터를 탈취한다
공격자의 의도에 따라 사용자의 데이터 자산 등의 탈취로 인한 2차 범죄가 예상될 수 있다. 

 

분석
해당 RAT는 지속적으로 많이 사용되고 있다. Networking 기능 중에 DDoS 기능이 있으나 현재는 작동이 불가능한것으로 확인 된다.

 


[그림1. 감염 화면 및 DDoS 기능 내역]

 

일반 Host 가 감염시에 3 way Handshaking  이후 감염PC는 특정 패킷을 C2 로 전송하게 된다.
-> Bulid 된 악성 파일에 존재하는 특정 Java Source file 과 유사한것을 확인 할 수 있다.

 

[그림2. 감염 PC 에서 발생되는 초기 패킷]

 

[그림3. Bulid 된 악성 jar 파일 확인 내역]

 

해당 NetworkObject.class 외에도 LoginData.class, NetworkClient.class 를 이용하여 통신을 한다.

 

[그림4. LoginData.class 내역]

 

[그림5. NetworkClient.class 내역]

 

대응방안
1) Sniper IPS 에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS 패턴블럭] : 3564, Win32/Backdoor.JSpyRAT.InitialConnection


 
2) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 

첨부파일 첨부파일이 없습니다.
태그