Orcus는 감염된 시스템을 원격으로 제어할 수 있는 원격 액세스 트로이 목마(Remote Access Trojans, RAT) 악성코드로, 2019년 8월경 “Cisco Talos”에서 “소비자 보호 단체 BBB(Better Business Bureau)”를 사칭한 피싱 이메일의 첨부 파일을 통해 Orcus RAT 악성코드가 유포되었다고 알렸다.
(출처: https://blog.talosintelligence.com/2019/08/rat-ratatouille-revrat-orcus.html)
또한 2019년 12월경, 캐나다 라디오·TV 전기통신위원회 CRTC(Canadian Radio-television and Telecommunication Commission)에서 Orcus RAT 악성코드 제작자에 대해 벌금을 부과한 것으로 알려졌지만, 현재까지도 유포되고 있어 주의가 필요하다.
해당 악성코드가 실행되면 먼저, 사용자가 입력한 키 정보를 해당 프로세스 이름과 함께 “C:\Users\사용자 계정명\AppData\Roaming\Orcus\klg_랜덤명.dat” 파일에 Base64 인코딩 방식으로 저장하고, 파일의 크기가 153.6KB 이상이면 해당 파일을 C2 서버로 전송한다.
현재 분석 시점에서는 C2 서버와 연결이 끊겼지만 정상적으로 연결이 될 경우, 다양한 원격 명령을 통해 감염된 PC를 제어할 수 있으며 원격 명령 중에는 공격자가 지정한 특정 URL로부터 추가 파일을 다운받을 수 있다.
또한 비밀번호 수집 명령에는 [표 1]에 해당하는 웹 브라우저, FTP, 이메일 클라이언트 프로그램을 대상으로, 각 프로그램마다 민감한 정보가 저장된 파일 및 레지스트리에 접근하여 사용자 정보를 수집하고 연결된 C2 서버로 전송한다.
Orcus RAT 악성코드의 특징 중 하나는, 공격자가 실시간으로 구현한 C#, VB, Batch 소스 코드를 실행할 수 있는 기능이 존재한다. Batch 코드일 경우에는 “%TEMP%” 경로에 “랜덤명.bat” 파일을 생성하고 실행한다. 반면 VB, C# 코드일 경우, 동적으로 컴파일 하기 위해 codeDomProvider 클래스와 컴파일 옵션 및 참조를 관리하는 CompilerParameters 클래스를 이용해서 메모리에 어셈블리를 생성하고 CompileAssemblyFromSource 메소드를 사용해 소스 코드를 컴파일한다.
마지막으로 플러그인에는 자신의 프로세스를 크리티컬 프로세스로 만들어 강제 종료할 경우, 블루스크린을 유발하는 기능이 있다. 이때 NtSetInformationProcess 함수의 인자로 breakOnTermination = 0x1D, isCritical = 1 값을 설정해 크리티컬 프로세스로 만든다.
기본적으로 원격 제어 툴(RAT)은 원격지의 PC를 관리하는 데 사용되지만, “Orcus RAT” 악성코드는 악의적인 목적으로 제작 및 판매되어 공격자의 원격 명령에 따라 사용자 정보를 탈취하고, 감염된 PC를 제어할 수 있어 주의가 필요하다. 사용자는 출처가 불분명한 링크나 첨부파일의 열람을 주의해야 하며 안티바이러스 제품을 설치해 최신 버전으로 업데이트할 것을 권고한다.
“Orcus RAT” 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| Telegram을 C&C 서버로 사용하는 ToxicEye 악성코드 (0) | 2021.05.06 |
|---|---|
| 위장된 사이트를 통해 유포되는 Ficker Stealer (0) | 2021.04.28 |
| [악성코드 분석] ElectroRAT 악성코드 분석 보고서 (0) | 2021.02.09 |
| [악성코드 분석] RevengeRAT 악성코드 분석 보고서 (0) | 2021.02.09 |
| [악성코드 분석] CRAT 악성코드 분석 보고서 (0) | 2021.01.27 |