KOROMOON

착한 사마리아인이 되고 싶습니다.

3/31/2020

njRAT 분석


※ 주의사항 : 
악용하지 마세요!!!
해당 글은 연구 목적으로 기재하였습니다.
악의적인 목적으로 이용할 시 발생할 수 있는 법적 책임은 자신에게 있습니다.



( 1 ) njRAT

.NET 으로 만들어진 RAT 툴로 키로깅, 웹캠 액세스 등 다양한 기능을 제공하는 것으로 확인됨.
2013년 06월에 처음 발견되었으며 종종 중동 해커 그룹에서 사용되었음.



( 2 ) njRAT Builder
<njRAT 0.6.4 Builder>
<njRAT 0.7d Builder>

봇넷 생성기임.
Host : C&C 서버 IP (봇넷은 리버스 쉘을 이용하여 C&C 서버 접근)
Port : C&C 서버 Port (0.6.4 버전 디폴트 Port - 1177, 0.7d 버전 디폴트 Port - 5552)
VicTim Name : 봇넷 이름
ExeName : Copy 옵션 체크 시 해당 이름으로 파일 생성됨.
Directory : Copy 옵션 체크 시 해당 디렉토리에 파일 생성됨.
그 밖에 각종 옵션들이 있음.
참고로 옵션 중 "Protect Process[BSOD]" 를 체크 시 봇넷을 생성하면 해당 봇넷 프로세스가 동작 중에 중지될 경우 블루스크린이 작동됨.



( 3 ) njRAT 봇넷 동적분석

njRAT 0.6.4 봇넷을 Victim 에 실행 시 동적분석을 진행하였으며 Windwos XP SP3 에서 테스트함.


<파일 위치>

실행 시 C:\Documents and Settings\Administrator\Local Settings\Temp 위치에 koromoon064.exe 파일과 koromoon064.exe.tmp 파일이 생성됨.


<프로세스 동작>
<C&C 서버 TCP/1177 포트로 접근시도>

koromoon064.exe 프로세스가 생성되며 C&C 서버의 TCP/1177 포트로 접근 시도함.


<njRAT 0.6.4 봇넷 패킷덤프>
<njRAT 0.7d 봇넷 패킷덤프>

참고로 njRAT 0.7d 버전과 기존 버전들과 패킷 덤프에서 약간 차이가 있음.
njRAT 0.6.4 봇넷 패킷덤프에서는 lv|'|'| 문자열과 [endof] 문자열 탐지가 특징이 있으며 njRAT 0.7d 봇넷 패킷덤프에서는 ll|'|'| 문자열 탐지가 특징이 있음.
공동으로 탐지된 고유 문자열 |'|'| 는 각 정보 사이에 탐지되는 것으로 확인됨.



( 4 ) njRAT 봇넷 정적분석
<패킹 여부>

.NET 으로 만들어진 것으로 확인됨.


<2개 버전 봇넷 디컴파일하여 비교한 화면>


njRAT 0.6.4 정보전달 패킷 구조
njRAT 0.7d 정보전달 패킷 구조
lv 고유헤더값
Base64 인코딩된 봇넷명+하드디스크 볼륨값
컴퓨터 이름
사용자명
봇넷 마지막 사용 날짜
운영 체제 전체 이름
웹캠 유무 체크(YES or NO)
봇넷 버전(0.6.4)
Base64 인코딩된 현재 실행중인 윈도우창 이름
[endof]
ll 고유헤더값
Base64 인코딩된 봇넷명+하드디스크 볼륨값
컴퓨터 이름
사용자명
봇넷 마지막 사용 날짜
운영 체제 전체 이름
웹캠 유무 체크(YES or NO)
봇넷 버전(0.7d)
Base64 인코딩된 현재 실행중인 윈도우창 이름
< 디컴파일하여 정보전달 패킷 정보를 추출한 데이터 >

각각의 버전 Botnet 을 디컴파일하여 정보전달 코드에 대해서 비교 분석하였으며 추출한 데이터는 위 표와 같음.



( 5 ) 시그니처 추출

alert tcp any any -> any any (msg:"KOROMOON_njRAT_Response"; flow:established; pcre:"/(lv\x7c\x27\x7c\x27\x7c|ll\x7c\x27\x7c\x27\x7c).{1,100}\x7c\x27\x7c\x27\x7c/";)

해당 시그니처는 Botnet 에서 C&C 서버로 처음 접속시 서버정보를 보내는 패킷을 탐지하는 시그니처로 각각 버전의 고유 정보전달 헤더값(lv|'|'|, ll|'|'|)과 연이어 나타나는 특정 헥사값(|'|'|)을 탐지함.



============================================================
본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.

댓글 없음:

댓글 쓰기