Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보무료 해킹 툴에 심어져 유포되는 Cobian RAT
작성일 2017-09-19 조회 941

 

 

 

2017년 2월부터 Cobian RAT라는 새로운 RAT (Remote Access Trojan)이 발견되었습니다. 현재 이 멀웨에는 무료로 제공되었기 때문에 해커들에게 많은 사랑을 받았습니다. 2017년 9월, Cobian RAT가 다시 수면 위로 올라오게 되었습니다. 최근 무료 해킹 툴에 심어 배포하여 해킹 툴을 사용하려는 사람들을 악성 봇넷(Botnet)으로 추가시키게 됩니다. '뛰는 해커 위에 나는 해커'가 존재하게 된 것입니다.

 

Cobian RAT는 감염된 단말의 기본 정보부터 파일관리, 스크립트 실행, 원격 파일 실행, 키로깅 등 다양한 방법으로 원격 조종 할 수 있게 됩니다.

 

Cobian RAT 에 숨겨진 모듈이 존재합니다. 원 제작자와 C&C을 할 수 있게 하며, 해당 툴을 사용하여 공격하는 2차 공격자와 그 피해를 받는 피해자 모두 원 제작자의 명령을 받을 수 있다는 것입니다. 원 제작자는 다수의 봇넷을 만들기 위해 무료로 툴을 배포하고 마치 다단계처럼 2차 공격자 및 피해자, 그 이후의 발생되는 모든 단말을 본인들의 봇넷으로 만들 수 있습니다. 

 

무료 배포 키트를 사용하여 악성코드를 확산시키는 2차 공격자가 원 제작자에 의해 조종당할 수 있다는 사실이 아이러니합니다.

 

최초 실행 시 Cobian RAT는 원 제작자 C2 에서 해당 툴 정보를 받아옵니다.

 

[그림] Cobian RAT 정보

 

 

공격자 입장에서의 모니터링 화면은 아래 그림과 같습니다. 감염 단말의 스크린부터 현재 윈도우 창에서 실행되고 있는 정보까지 모두 보여줍니다.

 

[그림] 감염 리스트

 

 

처음 접속 시 감염 클라이언트 단말 정보 및 Cobian 정보를 서버 C2로 전송한다.

 

[그림] 감염 단말 정보 전송

 

 

[Cobian RAT 기능]

 

File Manager : 원격으로 파일 검색 / 삭제 / 수정 등 모든 기능 사용

 

[그림] File Manager

 

 

System Manager : 감염 단말의 프로세스 정보 확인

 

[그림] System Manager

 

 

Remote Desktop : 감염 단말 원격 화면 출력, 그 외 웹캠이나 마이크 출력 확인 가능

 

[그림] Remote Desktop

 

 

Information : 감염 단말 정보 확인

 

[그림] Information

 

 

Chat : 감염 단말과 서버간의 채팅 (감염 단말의 채팅창은 종료할 수 없음)

 

[그림] Chat (Victim)

 

 

Keylogger : 감염 단말의 키로깅, 약간의 오류가 존재

 

[그림] 실제 타이핑

 

[그림] Keylogger 내 출력

 

 

Password Recovery : URL 내 로그인 정보 확인

 

[그림] Password Recovery

 

 

 
StressTester : 감염 단말과의 통신 상태 확인

 

[그림] Stress Tester

 

 

 

IP Lookup : 감염 단말의 지역 확인

 

[그림] IP Lookup

 

 

Pastime : 감염 단말에게 Message Box 생성, 다양한 옵션 가능

 

[그림] Pastime 서버

 

[그림] Pastime 클라이언트

 

 

Script : 감염 단말 스크립트 Injection

 

[그림] Script 서버

 

[그림] Script 클라이언트
 
 
 
From Disk : 서버의 단말에 있는 파일 전송 및 실행

 

[그림] 서버 실행 시 클라이언트 자동 실행

 
 
 
 
결론
 
서두에도 언급했지만 해킹 툴은 엄연한 불법이며, Cobian RAT는 감염자와 공격자 모두 봇넷이 될 수 있는 툴이기 때문에 무료 툴이라고 해서 사용하는 것은 바람직하지 않다.
 
추가적으로 모든 소프트웨어는 공식 사이트에서 다운로드 하시길 바라며, 신뢰하지 못하는 메일의 첨부파일은 다운로드 및 실행 하지 말아야 합니다.
 
 
언제나 타인에게 피해를 주거나 지적 재산권 침해가 이루어지는 모든 행위는 불법입니다.

 

 

[대응 방안]

Wins Sniper IPS
 - [3708] Win32/RAT.Cobian.1005568
 - [3709] Win32/RAT.Cobian.1005568.A
 
Wins Sniper UTM
 - [838861259] Win32/RAT.Cobian.1005568
 - [838861260] Win32/RAT.Cobian.1005568.A
 
Wins Sniper APTX
 - [2900] Win32/RAT.Cobian.1005568
 - [2901] Win32/RAT.Cobian.1005568.A
 

[그림] APTX 클라이언트 파일 탐지

 
 

Source

[Title 그림] https://www.youtube.com/watch?v=duKThaWMR7g

https://www.zscaler.com/blogs/research/cobian-rat-backdoored-rat

첨부파일 첨부파일이 없습니다.
태그 Cobian  RAT