Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보jRAT 분석
작성일 2017-07-21 조회 937

 

개요
Win32/Backdoor.jRAT.InitialConnection은 jRAT(Remote Administration Tool)에 의해 생성된 악성 파일이 일반 Host에 감염이 되면서 악성 행위를 시작한다. 
감염이 될 경우, 원격 조정이 가능한 jRAT이 설치되어 있는 C&C 서버와 주기적으로 통신을 하며, 악성 행위를 진행한다. 
악성 행위로는 공격자의 명령에 의해 Keylogging, 파일 송/수신, 원격 조정/모니터링, 웹캠 및 사운드 도청 등 감염 PC를 사용자에게 은닉하여 각종 데이터를 탈취한다
공격자의 의도에 따라 사용자의 데이터 자산 등의 탈취로 인한 2차 범죄가 예상될 수 있다. 

 

분석
해당 RAT는 지속적으로 많이 사용되고 있다. 기존 RAT와 차이점은 C2 서버에서 패킷의 암호화 통신 설정이 가능 하다.
- jRAT 과 lRAT은 동일

 

[그림 1. 초기 기부 요청 내역]

 

[그림2. 감염 화면 및 RAT 기능 내역]

 

[그림3. C2에서 설정 가능한 암호화 통신]

 

해당 설정을 Enable 했을 경우와 Disable 했을 경우의 차이는 아래와 같다.
- Diable 하게 되면 요청 값들을 string 형태로 확인이 가능하다

 

[그림4. 암호화 통신 Enable]

 

[그림5. 암호화 통신 Disable]

 

대응방안
1) Sniper IPS 에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS 패턴블럭] : 3596, Win32/Backdoor.jRAT.InitialConnection


 
2) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 

첨부파일 첨부파일이 없습니다.
태그 jRAT  lRAT  Remote Administration Tool