분석 정보/악성코드 분석 정보

[악성코드 분석]악성코드 제작자는 체포되었지만 여전히 유포되는 NanoCore RAT

TACHYON & ISARC 2019. 7. 26. 16:53

악성코드 제작자는 체포되었지만 여전히 유포되는 NanoCore RAT 

 

1. 개요

최근 피싱 메일의 첨부파일을 통해 ‘Nanocore RAT’(원격 관리 툴)이 다수 유포되고있다. 원격 관리 툴은 합법적인 프로그램이지만 공격자에 의해 악용될 수 있는데, ‘NanoCore RAT’의 경우에는 ‘NanoCore RAT’을 만든 제작자가 악의적인 목적으로 ‘NanoCore RAT’을 제작 및 배포하여 징역을 받았다. 하지만 악성코드 제작자가 체포되어도 ‘Nanocore RAT’ 악성코드는 공격자들에 의해 여전히 유포되고 있어 사용자의 주의가 필요하다.

 

이번 보고서에서는 ‘NanoCore RAT’ 악성코드가 유포된 사례와 악성 동작에 대해 알아본다.

 


2. 분석 정보

2-1. 유포 사례

‘NanoCore RAT’은 2015년 3월 정식 버전이 출시되면서 본격적으로 나타났다. 주로 불특정 다수를 대상으로 피싱 메일의 첨부파일을 통해 유포되지만 2015년~2017년 사이에는 특정 대상을 목표로 공격한 사례가 존재한다. 

 

[표 1] 유포 사례1


불특정 다수를 대상으로 한 피싱 메일은 구매 주문서, 제품 문의, 배송 정보 등의 내용이며 2017년부터 현재까지 유포 사례가 점차 증가하는 것으로 보인다.

 

[표 2] 유포 사례2

 


2-2. 실행 과정

해당 악성코드는 다운로드 링크가 걸린 PDF 문서, 악성 매크로가 포함된 MS워드(DOC)와 엑셀(XLS), 악성 실행 파일(EXE)을 포함한 압축파일(ZIP, RAR, ISO, IMG)을 통해 실행된다. 최근에는 ISO 확장자로 압축된 파일로 유포되고 있으며 압축파일 내부에는 ‘NanoCoreRAT’ 실행 파일이 존재한다. 해당 악성코드가 실행되면 주로 정상프로세스(RegAsm.exe, Msbuild.exe 등)에 인젝션 되어 악성 동작을 시작한다.
 

 

 [그림 1] 실행 과정


3. 악성 동작

3-1. 포트 연결

‘Nanocore RAT’은 공격자가 사용자 PC에 접근해 시스템에 대한 제어권을 가질 수 있는 백도어이다. 백도어는 감염된 PC에 지속적으로 접근할 수 있도록 네트워크에 자신의 포트를 항상 열어둔다. 
 

[ 그림 2] 연결된 포트 정보

 

 

 


감염된 PC와 네트워크로 연결되면 원격에서 시스템 제어, 키로깅, 파일 업로드 및 다운로드, 웹캠 도촬, 도청, 화면 캡처 등 다양한 악성 기능들로 해당 PC를 장악할 수 있다. 아래 [그림 3]은 실제 공격자가 사용하는 서버 측의 ‘NanoCore RAT’ 이며 모듈에 따라 악성 동작도 달라질 수 있다. 

 

[그림 3] ‘Nanocore RAT’의 악성 기능

 

 

 

 


3-2. 시스템 원격 제어

주요 악성 기능 중 사용자 PC의 화면과 행동을 실시간으로 훔쳐볼 수 있고 조종까지 가능한 시스템 제어 기능이 있다. 아래 [그림 4]와 같이 원격지에 있는 공격자 측에선 ‘NanoCore RAT’ 악성코드에 감염된 사용자의 PC를 제어할 수 있다. 
 

 

[그림 4] 원격 제어 중인 공격자의 PC화면(왼), NanoCore RAT 악성코드에 감염된 사용자의 PC화면(오)

 

 

 


3-3. 키로깅

키로깅 기능은 감염된 PC에서 키보드로 입력되는 모든 정보를 가로챌 수 있는 기능이다. 실시간으로 사용자의 키보드 입력 정보를 볼 수 있으며 키로그 파일(KB_XXXX.dat)로 저장된다. 사용자의 로그인 계정정보, 메신저 채팅 내용, 인터넷 뱅킹 정보 등 개인 정보 탈취의 위험이 있다.
 

[그림 5] 키로깅 중인 공격자의 PC화면(왼), NanoCore RAT 악성코드에 감염된 사용자의 PC화면(오)

 

 

 


3-4. 파일 업로드 및 실행

또한 공격자는 사용자의 PC에 저장된 데이터를 다운로드 받을 수 있고, 공격자가 원하는 파일을 업로드 및 실행할 수 있는데 [그림 7]처럼 랜섬웨어를 사용자 PC에 실행시킬 수도 있다. 
 

 

[그림 6] 파일 업로드 및 다운로드 기능



 

 

 

 

[그림 7] 랜섬웨어를 업로드 및 실행하는 공격자의 PC화면(왼), 랜섬웨어에 감염된 사용자의 PC화면(오)


 

 


4. 결론

이번 보고서에서 알아본 ‘NanoCore RAT’은 공격자에 의해 시스템 제어, 키로깅, 추가적인 악성 파일 다운로드가 될 수 있으며 지속적으로 개인 정보를 탈취당할 수 있어 사용자의 주의가 필요하다. 또한 피싱 메일의 첨부 파일을 실행하도록 유도하기 때문에 이를 방지하기 위해서는 피싱 메일에 대한 사용자의 보안 인식과 정기적인 백신 업데이트가 필요하다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

 

[그림 8] TACHYON Internet Security 5.0 진단 및 치료 화면