Revenge-RAT

꽤나 악성코드 분석을 오래 하였지만.. 분석한 기간에 비해 많은 것을 남기지 못해 시간이 날때마다 조금씩 모아놨던 자료들을 정리하고자 합니다.

금일 정리할 내용은 Revenge-RAT 분석입니다.

해당 툴은 비교적 최근에 나온 RAT툴로 꾸준히 업데이트가 되고 있는 툴 중 하나입니다.

해당 RAT는 Stub & Bulder는 .Net v2.0.50727 으로 컴파일 되어 있으며 ,2.0.50727 이상의 .Net 환경에서 동작합니다.

해당 RAT 툴의 기능은 아래와 같습니다.

Control Panel 

- FileManager

1. 파일 원격 실행

2. RAR 파일 찾기

3. 파익삭제

4. 파일 다운로드

5. 파일 업로드

6, 파일 검색 기능

- Remote Desktop

1. 원격 조정 ( 마우스 및 키보드 조정)

2. 상대편 화면 보기

- Remote Webcam

1. 설치된 웹캠 화면 전송

- System Manager

1. 프로세스 리스트 확인

2. 프로세스 종료 / 재시작 / 멈추기 / 다시진행시키기

3. 현재 실행중인 윈도우창 확인

4. 실행중인 윈도우창 ( 숨기기 / 보이기 / 최소화 / 최대화 )

5. 서비스 조작 ( 시작 / 종료 / 멈추기 / 재시작 )

6. 레지스트리 키 ( 생성 / 수정 / 삭제 )

7. 원격 접속 리스트 확인

8. 원격 접속 프로세스 종료

9. Remote Shell 사용 ( CMD 명령 가능 )

추가 기능 ( Extra )

1. 키로깅

2. 시스템 정보 얻기

3. 시스템 패스워드 탈취

Excute 추가 기능 

1. 스크립트 전송 및 실행

2. 다른 원격지 서버 파일 다운로드 후 실행

3. 공격자가 파일 전송한 파일을 다운하고 실행

서버 추가 기능

1. 업데이트 기능

2. 자기 삭제 기능

3. 종료

4. 접속 끊기

5. 재시작

빌드 생성시 특징

1. C&C 접속을 위해 서버 및 클라이언트에 Password가 필요하며 이를 공격자가 정해서 빌드를 해야함.

2. 프로세스가 생성시 Mutex가 기본값이 존재하지만 랜덤하게 부여시 RV_MUTEX-xxxxx 랜덤으로 프로세스 뮤택스가 부여

3. C&C 접속을 위한 기본 Default 포르는 333번 포트 ( 포트 번호를 Base64로 디코딩 가능 ..... 이건 다른 RAT툴과 좀 다름 )

4. RAT 서버가 설치된 경우 Run키 등록, Startup, 스케쥴러로 등록 가능 ( 사용자 지정 폴더도 가능)

5. Host 파일 변조 기능

6. Output 으로 ( EXE, COM, BAT, PIF, SCR) 형태의 파일을 Output으로 배출함.

진단 가능한 YARA

rule Revenge

{

    meta:

        autor = "Runardor"

        family = "Revenge"

    strings:

$a1 = "Revenge-" wide

        $a2 = "RV_MUTEX-" wide

        $a3 = "[InternetShortcut]{0}URL={1}{0}" wide

    condition:

        all of ($a*)

}