Github에 공개된 CyberEye RAT 빌더

최근 Github에 CyberEye RAT을 제작하는 빌더가 공개됐다. 빌더 제작자는 교육적인 목적으로 공개했으며 본 의도와 다르게 사용될 시 모든 행위 및 손해에 대해 책임지지 않는다고 공지했다. 하지만 사용자 친화적인 GUI 환경의 빌더로 보다 손쉽게 악용될 수 있으며 윈도우 디펜더 비활성화와 부트 섹터 변조 등의 시스템에 큰 영향을 끼칠 수 있는 기능이 존재해 자사 및 타 보안 업체에서 악성코드로 분류하고 있다. 현재 공개된 빌더 버전은 v.1.0.1이며 텔레그램 연결 테스트와 파일 생성 로그 출력 기능이 추가됐다. 빌더로 생성한 CyberEye RAT은 설정된 옵션에 따라 관리자 권한 실행, 안티 VM 및 클립보드 하이재킹 등의 동작을 수행한다. 그리고 텔레그램 봇 토큰값과 ChatID를 이용해 피해자에게 봇 메시지로 정보 탈취, 부트 섹터 변조 및 윈도우 디펜더 비활성화 등의 악성 명령을 하달하고 실행 결과를 수신한다.

CyberEye RAT 빌더 Github 링크 : https://github.com/cisamu123/CyberEye

 

1. CyberEye RAT 빌더

CyberEye RAT을 제작할 때에는 빌더와 구성 요소 파일이 같은 경로 내에 있어야 하며 Github에서 ZIP 아카이브 형태로 공개돼있다. CyberEye RAT 빌더에는 관리자 권한 실행, 안티 VM 및 정보 탈취 자동 수행 등의 옵션이 있으며 파일 수집 대상 확장자 목록 등을 수정할 수 있다. 또한 클립보드 하이재킹 옵션과 클립보드에서 교체할 공격자의 암호화폐 지갑 주소를 설정할 수 있다. 빌드 이전에는 C&C 서버로 사용하는 텔레그램 봇의 토큰값과 ChatID를 입력해야 하며 테스트를 진행해 통신이 가능한지 확인 가능하다.

 

[그림 1] CyberEye RAT 빌더

 

CyberEye RAT의 실행 테스트 목적으로 텔레그램 봇을 임의로 생성한 뒤 토큰값과 ChatID를 사용해 해당 악성코드를 빌드했으며 이를 실행하면 텔레그램에서 아래 [그림 2]와 같이 연결 성공 메시지와 사용 가능한 명령을 확인할 수 있다. 사용 가능한 명령의 전체 목록은 본 문서의 [그림 3]에서 확인할 수 있다.

 

[그림 2] 텔레그램 봇 생성 및 CyberEye RAT 실행

 

텔레그램에서 “/help” 명령을 실행시키면 아래 [그림 3]과 같이 피해자 PC의 추가적인 시스템 정보를 수집하거나 파일 삭제, 레지스트리 수정 및 PC 제어 등 약 80개 가량의 명령을 확인할 수 있다.

 

[그림 3] CyberEye RAT 명령어 목록

 

2. CyberEye RAT

CyberEye RAT을 실행하면 빌더에서 설정한 옵션에 따라 관리자 권한 실행, 안티 VM 및 클립보드 하이재킹 등을 수행한다. 그리고 옵션 설정과 상관없이 키로깅을 자동으로 수행하며 파일 형태로 지정된 경로에 저장하고 텔레그램에서 정보 탈취, 부트 섹터 변조 및 윈도우 디펜더 비활성화 등의 명령을 수신해 실행한다.

 

관리자 권한 실행

빌더에서 “Admin Rights Required” 옵션을 설정한 경우 옵션 설정 플래그 값과 현재 실행된 권한을 확인한 뒤 일반 사용자 권한으로 실행돼 있으면 관리자 권한으로 다시 실행한다.

 

[그림 4] 관리자 권한 실행

 

안티 VM 및 안티 디버깅

“Prevent Start On Virtual Machine” 옵션을 설정하면 샌드박스와 가상환경 및 디버깅 상태를 확인하며 분석을 방해하려고 실행 종료한다. Avast와 Comodo 등의 샌드박스 관련 DLL을 발견하거나 시스템 및 하드웨어 정보를 읽어 VirtualBox나 VMware 관련 문자열을 탐색해 실행을 종료한다. 또한 실행 소요 시간을 체크해 1초를 넘기면 디버깅 중이라고 판단해 이 역시 실행을 종료한다.

-       샌드박스 관련 DLL : SbidDll.dll (Sandboxie), Sxln.dll (Avast Sandbox), Sf2.dll (Avast Sandbox), snxhk.dll (Avast Sandbox), cmdvrt32.dll (Comodo Sandbox)

 

[그림 5] 안티 VM 및 안티 디버깅

 

클립보드 하이재킹

이 악성코드를 생성할 때 빌더에서 “Clipper Enabled” 옵션을 설정했으면 사용자 PC의 클립보드를 모니터링해 정규표현식으로 비트코인, 이더리움 및 모네로 암호화폐 지갑 주소를 탐지한다. 정규표현식에 해당하는 암호화폐 지갑 주소가 복사될 경우 빌더에서 지정한 공격자의 암호화폐 지갑 주소로 변경한다.

 

[그림 6] 클립보드 하이재킹

 

정보 탈취

빌더에서 “Auto Stealer Enabled” 옵션을 설정하면 악성코드 실행 시 자동으로 웹 브라우저와 응용프로그램 계정 정보 및 바탕화면 파일을 수집하고 옵션을 설정하지 않으면 텔레그램에서 수신한 명령에 맞는 정보 탈취 동작만 각각 수행한다. 아래 [표 1]은 웹 브라우저 수집 정보이며 Chromium 기반의 웹 브라우저를 대상으로 하고 비밀번호, 결제 카드 및 접속 기록 등을 수집한다.

 

[표 1] 웹 브라우저 수집 대상 및 수집 정보

 

웹 브라우저 정보 탈취와 동일하게 빌더에서 설정된 옵션에 따라 자동으로 응용프로그램의 정보를 수집하거나, 텔레그램에서 수신한 명령을 실행해 각각 따로 정보를 수집한다. 정보 수집 대상으로는 디스코드의 계정 토큰 값과 텔레그램의 세션 데이터 및 파일질라 프로그램의 FTP 접속 정보 등 각 응용 프로그램의 계정 정보를 수집한다.

 

[표 2] 응용프로그램 정보 수집

 

정보 탈취 자동 실행 옵션 중 마지막으로는 바탕화면 파일 수집이 있다. 악성코드 실행 시 바탕화면 하위 경로에 있는 파일을 자동으로 수집하고 텔레그램에서 수신하는 명령은 “/GetDesktop”이며 수집 대상의 크기 제한과 확장자는 빌더에서 수정이 가능하다.

 

[표 3] 바탕화면 파일 수집

 

키로깅

CyberEye RAT을 실행하면 빌더에서 설정하는 옵션과 상관없이 자동으로 키로깅을 수행하며 그 결과를 프로세스 별로 구분한 뒤 ‘C:\Users\CyberEye’ 경로에 “keylogs”란 이름으로 저장한다.

 

[그림 7] 키로깅 결과

 

부트 섹터 변조

텔레그램에서 부트 섹터를 덮어쓰는 “/OverwriteBootSector” 명령을 수신해 실행하면 시스템의 첫 번째 물리 드라이브의 쓰기 권한을 얻고 512바이트만큼 0으로 덮어 씌어 피해자 PC를 부팅 불가능하게 한다.

 

[그림 8] 부트 섹터 변조

 

윈도우 디펜더 비활성화

텔레그램에서 수신한 “/Windefender” 명령으로 윈도우 디펜더를 무력화한다. 명령과 함께 지정된 “Enable” 또는 “Disable” 인자값에 따라 레지스트리를 수정해 윈도우 디펜더의 실시간 보호 및 동작 모니터링 등의 기능을 활성화하거나 비활성화한다.

 

[그림 9] 윈도우 디펜더 비활성화

 

작업 스케줄러 등록

빌더로 생성할 때 “Autorun Enabled“ 옵션을 설정하면 작업 스케줄러에 등록해 피해자 PC가 부팅할 때마다 자동 실행되게 한다. ‘C:\Users\CyberEye’ 경로에 “rat.exe”로 자가 복제한 뒤 작업 스케줄러에 등록하는데 기본으로 지정된 작업 이름은 Chrome Update이며 빌더에서 수정이 가능하다.

 

[그림 10] 작업 스케줄러 등록

 

CyberEye RAT 악성코드는 교육적인 목적으로 제작돼 Github에 공개됐지만, 소스코드와 기능이 추후 악용될 여지가 있으며 리눅스 버전의 사용 방법도 공개돼 악성코드 제작이 가능하므로 주의가 필요하다. 따라서 보안 프로그램과 OS를 항상 최신 버전으로 유지하고 파일을 실행하기 전 보안 프로그램의 검사를 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 6.0에서 진단 및 치료가 가능하다.

 

[그림 11] TACHYON Internet Security 6.0 진단 및 치료 화면