일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 글렌코
- DonwLoader
- 장단기금리역전
- 중국지준율
- Revenge-RAT
- 미국국채
- 정원카페
- 건폐율제한
- RSA
- 세금의종류
- 경제
- 중국부실채권
- 재산세
- winhttp
- 카페글렌코
- RSA AES256
- 토지이용규제정보서비스
- 취득세
- 중국가게부채
- powershell
- 가게부채
- FDO
- rat
- ADO
- RSA 2048
- 제주글렌코
- 10년물
- 세금
- 지준율
- shellcodeLoader
- Today
- Total
부동산, 채권, 주식, 경제흐름 자료를 모아 보는 블로그입니다.
Revenge-RAT 본문
꽤나 악성코드 분석을 오래 하였지만.. 분석한 기간에 비해 많은 것을 남기지 못해 시간이 날때마다 조금씩 모아놨던 자료들을 정리하고자 합니다.
금일 정리할 내용은 Revenge-RAT 분석입니다.
해당 툴은 비교적 최근에 나온 RAT툴로 꾸준히 업데이트가 되고 있는 툴 중 하나입니다.
해당 RAT는 Stub & Bulder는 .Net v2.0.50727 으로 컴파일 되어 있으며 ,2.0.50727 이상의 .Net 환경에서 동작합니다.
해당 RAT 툴의 기능은 아래와 같습니다.
Control Panel
- FileManager
1. 파일 원격 실행
2. RAR 파일 찾기
3. 파익삭제
4. 파일 다운로드
5. 파일 업로드
6, 파일 검색 기능
- Remote Desktop
1. 원격 조정 ( 마우스 및 키보드 조정)
2. 상대편 화면 보기
- Remote Webcam
1. 설치된 웹캠 화면 전송
- System Manager
1. 프로세스 리스트 확인
2. 프로세스 종료 / 재시작 / 멈추기 / 다시진행시키기
3. 현재 실행중인 윈도우창 확인
4. 실행중인 윈도우창 ( 숨기기 / 보이기 / 최소화 / 최대화 )
5. 서비스 조작 ( 시작 / 종료 / 멈추기 / 재시작 )
6. 레지스트리 키 ( 생성 / 수정 / 삭제 )
7. 원격 접속 리스트 확인
8. 원격 접속 프로세스 종료
9. Remote Shell 사용 ( CMD 명령 가능 )
추가 기능 ( Extra )
1. 키로깅
2. 시스템 정보 얻기
3. 시스템 패스워드 탈취
Excute 추가 기능
1. 스크립트 전송 및 실행
2. 다른 원격지 서버 파일 다운로드 후 실행
3. 공격자가 파일 전송한 파일을 다운하고 실행
서버 추가 기능
1. 업데이트 기능
2. 자기 삭제 기능
3. 종료
4. 접속 끊기
5. 재시작
빌드 생성시 특징
1. C&C 접속을 위해 서버 및 클라이언트에 Password가 필요하며 이를 공격자가 정해서 빌드를 해야함.
2. 프로세스가 생성시 Mutex가 기본값이 존재하지만 랜덤하게 부여시 RV_MUTEX-xxxxx 랜덤으로 프로세스 뮤택스가 부여
3. C&C 접속을 위한 기본 Default 포르는 333번 포트 ( 포트 번호를 Base64로 디코딩 가능 ..... 이건 다른 RAT툴과 좀 다름 )
4. RAT 서버가 설치된 경우 Run키 등록, Startup, 스케쥴러로 등록 가능 ( 사용자 지정 폴더도 가능)
5. Host 파일 변조 기능
6. Output 으로 ( EXE, COM, BAT, PIF, SCR) 형태의 파일을 Output으로 배출함.
진단 가능한 YARA
rule Revenge
{
meta:
autor = "Runardor"
family = "Revenge"
strings:
$a1 = "Revenge-" wide
$a2 = "RV_MUTEX-" wide
$a3 = "[InternetShortcut]{0}URL={1}{0}" wide
condition:
all of ($a*)
}
'RAT 분석' 카테고리의 다른 글
LeGend-Rat (0) | 2016.08.29 |
---|