※ 주의사항 :
악용하지 마세요!!!
해당 글은 연구 목적으로 기재하였습니다.
악의적인 목적으로 이용할 시 발생할 수 있는 법적 책임은 자신에게 있습니다.
( 1 ) njRAT
.NET 으로 만들어진 RAT 툴로 키로깅, 웹캠 액세스 등 다양한 기능을 제공하는 것으로 확인됨.
2013년 06월에 처음 발견되었으며 종종 중동 해커 그룹에서 사용되었음.
( 2 ) njRAT Builder
<njRAT 0.6.4 Builder>
<njRAT 0.7d Builder>
봇넷 생성기임.
Host : C&C 서버 IP (봇넷은 리버스 쉘을 이용하여 C&C 서버 접근)
Port : C&C 서버 Port (0.6.4 버전 디폴트 Port - 1177, 0.7d 버전 디폴트 Port - 5552)
VicTim Name : 봇넷 이름
ExeName : Copy 옵션 체크 시 해당 이름으로 파일 생성됨.
Directory : Copy 옵션 체크 시 해당 디렉토리에 파일 생성됨.
그 밖에 각종 옵션들이 있음.
참고로 옵션 중 "Protect Process[BSOD]" 를 체크 시 봇넷을 생성하면 해당 봇넷 프로세스가 동작 중에 중지될 경우 블루스크린이 작동됨.
( 3 ) njRAT 봇넷 동적분석
njRAT 0.6.4 봇넷을 Victim 에 실행 시 동적분석을 진행하였으며 Windwos XP SP3 에서 테스트함.
<파일 위치>
실행 시 C:\Documents and Settings\Administrator\Local Settings\Temp 위치에 koromoon064.exe 파일과 koromoon064.exe.tmp 파일이 생성됨.
<프로세스 동작>
<C&C 서버 TCP/1177 포트로 접근시도>
koromoon064.exe 프로세스가 생성되며 C&C 서버의 TCP/1177 포트로 접근 시도함.
<njRAT 0.6.4 봇넷 패킷덤프>
<njRAT 0.7d 봇넷 패킷덤프>
참고로 njRAT 0.7d 버전과 기존 버전들과 패킷 덤프에서 약간 차이가 있음.
njRAT 0.6.4 봇넷 패킷덤프에서는 lv|'|'| 문자열과 [endof] 문자열 탐지가 특징이 있으며 njRAT 0.7d 봇넷 패킷덤프에서는 ll|'|'| 문자열 탐지가 특징이 있음.
공동으로 탐지된 고유 문자열 |'|'| 는 각 정보 사이에 탐지되는 것으로 확인됨.
( 4 ) njRAT 봇넷 정적분석
<패킹 여부>
.NET 으로 만들어진 것으로 확인됨.
<2개 버전 봇넷 디컴파일하여 비교한 화면>
njRAT
0.6.4 정보전달 패킷 구조
|
njRAT
0.7d 정보전달 패킷 구조
|
lv 고유헤더값
Base64 인코딩된 봇넷명+하드디스크
볼륨값
컴퓨터 이름
사용자명
봇넷 마지막 사용 날짜
운영 체제 전체 이름
웹캠 유무 체크(YES or NO)
봇넷 버전(0.6.4)
Base64 인코딩된 현재 실행중인 윈도우창 이름
[endof]
|
ll 고유헤더값
Base64 인코딩된 봇넷명+하드디스크
볼륨값
컴퓨터 이름
사용자명
봇넷 마지막 사용 날짜
운영 체제 전체 이름
웹캠 유무 체크(YES or NO)
봇넷 버전(0.7d)
Base64 인코딩된 현재 실행중인 윈도우창 이름
|
< 디컴파일하여 정보전달 패킷 정보를 추출한 데이터 >
각각의 버전 Botnet 을 디컴파일하여 정보전달 코드에 대해서 비교 분석하였으며 추출한 데이터는 위 표와 같음.
( 5 ) 시그니처 추출
alert tcp any any -> any any (msg:"KOROMOON_njRAT_Response"; flow:established; pcre:"/(lv\x7c\x27\x7c\x27\x7c|ll\x7c\x27\x7c\x27\x7c).{1,100}\x7c\x27\x7c\x27\x7c/";)
해당 시그니처는 Botnet 에서 C&C 서버로 처음 접속시 서버정보를 보내는 패킷을 탐지하는 시그니처로 각각 버전의 고유 정보전달 헤더값(lv|'|'|, ll|'|'|)과 연이어 나타나는 특정 헥사값(|'|'|)을 탐지함.
============================================================
글
댓글 없음:
댓글 쓰기