by
Oct 29. 2022
DarkTrack RAT
악성코드 기능 및 분석
요즘은 정적으로 악성코드를 분석하는 부서가 별로 없지만 다행히 나의 경우 해당 업무를 담당했고 뛰어나신 분 옆에서 3년동안 분석을 배울기회가 있어서 좋은 경험을 쌓을 수 있었다.
다만 점점 익스플로잇킷에 의한 취약점 공격이 아닌 메일 위주의 Formbook과 같은 악성코드가 늘어남에 따라 분석하는 시간이 아까워지기 시작했다. 다크웹 같은 곳에서 돈을 주면 얼마든지 악성코드를 생성하는 프로그램을 받아 찍어내기 식으로 악성코드를 제작할 수 있게 되었다. 그리고 열심히 막아도 점점 분석하기 어려운 방식으로 발전하고 그 양도 늘어남에 따라 정적분석보다는 동적분석으로 대응하고 이메일에 의한 감염을 줄이는 방식으로 대응하기 시작했다.
Formbook 분석 내용:
1: https://asec.ahnlab.com/ko/1348/
2: https://isarc.tachyonlab.com/2757
3. https://asec.ahnlab.com/ko/40167/
이 폼북 악성코드는 아직도 캠페인 중이라고 하니 언제쯤 잡혀서 감옥에 갈까 궁금하다.
https://www.netskope.com/blog/new-formbook-campaign-delivered-through-phishing-emails
찍어내기 식의 악성코드의 답답함과 감염시 피해 규모를 설명하기 위해 한때 유행했던 DarkTrack Alien 악성코드를 사례로 하나하나씩 살펴보자. 나는 악성코드를 분석하기 위해서는 악성코드를 실제로 만들어보고 무엇을 할 수 있는지를 알아야한다고 생각한다.
https://news.softpedia.com/news/free-darktrack-rat-has-the-potential-of-being-the-best-rat-on-the-market-508179.shtml
이러한 RAT는 오래됐기도 했고 요즘은 백신에 의해 다 탐지돼서 아래와 같이 다양한 곳에서 다운받을 수 있다.
https://github.com/mstfknn/rat-collection
참고로 이 사람의 repo에는 이것 외에도 dark web 사이트를 모아놓은 곳도 있으니 관심있으면 들어가서 확인해도 좋을 것 같다.
darktrack 사용 방법은 다음 사이트에서 확인할 수 있다.
https://vimeo.com/268428489
여기서부터는 테스트 환경에서 진행된다. 참고로 virtualBox에서 vmdk를 사용하는 방법은 아래 링크를 참고하면 된다.
https://brunch.co.kr/@moaikim/60
다운받은 setup.exe을 실행하면 다음과 같은 악성코드 빌더가 생성된다.
메인화면은 다음과 같다.
툴에 대해 간단히 요약하자면 서버를 열고 해당 프로그램으로 악성코드를 제작한다.
제작한 악성코드를 다른 PC에서 실행하여 감염시키면 원격으로 서버에 연결되어 공격자가 임의대로 제어할 수 있다.
테스트를 위해 이번에도 네이버 클라우드의 윈도우 서버를 이용했다.
좌측 메뉴의 Client Settings를 클릭해서 빌드를 위해 먼저 포트와 암호를 설정하고
(포트: 5432, 암호 123456)
좌측 메뉴의 Create Server를 클릭해서 악성코드 이름, 팩킹, 등 이것저것 설정을 한 뒤 build 버튼을 클릭한다. 악성코드가 생성되면 같은 폴더에 악성코드가 생성된다. 악성코드의 이름은 server.exe이다. 지금 저 아이피는 클라우드 서버에 윈도우 서버를 생성해서 작업한 것이고 vm에서 테스트를 위해 해보는 경우 제어 서버와 감염 호스트가 동일하므로 127.0.0.1로 설정하면 된다.
이후 가상머신에서 악성코드를 실행시키면 서버에 연결을 시도한다.
다시 돌아와 빌드한 서버에서 상태를 확인하면 연결된 것을 확인할 수 있다.
감염된 PC의 국적, 호스트명, IP, 사용자정보, 운영체제, 캠, 현재 최상단으로 실행중인 프로그램 등의 정보가 보인다. 위의 메뉴에서 Network Stress Tester Tools를 이용하면 디도스 공격도 가능하다.
이제 이 감염된 피씨를 더블클릭하자. 이제 이 피씨는 마음대로 제어가 가능하다.
파일목록
레지스트리 목록
실행중인 프로세스
그 외 서비스, 설치된 프로그램, 시작프로그램 등을 확인할 수 있다.
클립보드한 내용도 확인이 가능하다.
키로깅
아쉽게도 실시간 모드의 경우 정상적으로 긁어오지는 못하고 기록을 모두 가져와야 정상적으로 보인다
원격제어
원격제어 화면이다.
이것 외에도 원격으로 명령어를 실행하고, 비밀정보, 악성코드 다운로드, 업로드 등을 할 수 있다.
사용자에게 메시지를 보내거나 음성을 들리게 할 수 있다.
추가 공격을 위해 감염된 PC와 연결된 피씨를 검색할 수 있다.
그 외로 PC를 종료시키거나 로그아웃 할 수 있다.
그 외로 상단의 마스크 버튼을 클릭하면 감염된 PC의 사용자를 괴롭힐 수 있는데
지금 바탕화면의 아이콘이 모두 사라진 것을 볼 수 있다.
Disabled Desktop을 클릭하면 바탕화면에서 아무런 작업을 할 수 없다.
Hide Taskbar를 클릭하면 작업표시줄이 사라진다.
그리고 마스크 옆에 있는 사람 아이콘을 클릭하면 사용자의 행위들이 모두 기록되어 저장하고 있음을 확인할 수 있다.
지금은 하나의 피씨를 상대로 조종을 진행했고 연결된 모든 피씨에게 한번에 명령을 내릴 수도 있다.
특정 사이트로 접속하도록 명령을 내렸다.
Thumbnail View를 클릭하면 감염된 PC들의 상태를 다 확인할 수 있다.
이 악성코드의 파일 크기는 627 KB밖에 되지 않는다.
