일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 중국지준율
- 제주글렌코
- 경제
- 가게부채
- 토지이용규제정보서비스
- 10년물
- winhttp
- 건폐율제한
- 카페글렌코
- 장단기금리역전
- FDO
- 중국가게부채
- 글렌코
- powershell
- RSA AES256
- ADO
- 취득세
- rat
- 세금의종류
- RSA
- DonwLoader
- 미국국채
- 정원카페
- shellcodeLoader
- 지준율
- RSA 2048
- Revenge-RAT
- 중국부실채권
- 재산세
- 세금
- Today
- Total
부동산, 채권, 주식, 경제흐름 자료를 모아 보는 블로그입니다.
LeGend-Rat 본문
금일 정리할 내용은 LeGend-Rat 분석입니다.
해당 RAT는 Stub & Bulder는 .Net v2.0.50727 으로 컴파일 되어 있으며 ,2.0.50727 이상의 .Net 환경에서 동작합니다.
해당 RAT 툴의 기능은 아래와 같습니다.
서버 최초 생성 옵션
1. 프로세스 보호 ( BSOD )
2. 시작프로그램 자동실행 등록
3. 레지스트리 자동실행 등록
4. 스케쥴러 자동실행 등록
5. Slepp 기능
6. Mpress 압축 기능
7. 키로깅 셋팅
8. %APPDATA%, %TEMP%, WINDIR, UserProfile 등에 스스로 셋팅
9. 디폴트 포트 : 5552
Control Panel
Remote Desktop
1. 원격 조정 ( 마우스 및 키보드 조정)
2. 상대편 화면 보기
- Remote Webcam
1. 설치된 웹캠 화면 전송
- FileManager
1. 파일 원격실행
2. 파일 삭제
3. 파일 수정
4. 파일명 변경
5. 파일 복사 / 잘라내기 / 붙이기
7. 파일 업로드 / 다운로드
8. 빈파일 생성
9. 새로운 폴더 만들기
10. 특정 위치(웹)으로 부터 다운로드
11. RAR ( 압축 / 압축 해제 )
12. 특정 주소로 파일 업로드
- System Manager
1. 프로세스 리스트 확인
2. 프로세스 종료 / 재시작 / 멈추기 / 다시진행시키기
5. 서비스 조작 ( 시작 / 종료 / 멈추기 / 재시작 )
6. 레지스트리 키 ( 생성 / 수정 / 삭제 )
7. 원격 접속 리스트 확인
8. 원격 접속 프로세스 종료
9. Remote Shell 사용 ( CMD 명령 가능 )
추가 기능 ( Extra )
1. 키로깅
2. 시스템 정보 얻기
3. 시스템 패스워드 탈취
4. 호스트 파일 확인
5. 인스톨된 어플리케이션 정보 얻기
AV 제품 기능
- AV 제품 검색
- AV 제품 죽이기
FUN 기능
1. 바탕화면 배경 바꾸기
2. 활성화된 창 숨기기 / 나타내기
3. 특정 URL 접속 웹브라우저 실행
4. 컴퓨터 재시작 / 종료
5. 마우스 / 키보드 동작 못하게 하기 풀기
6. 메시지 박스 전송
파일 원격 실행
1. 특정 웹사이트서 스크립트 다운로드 실행
2. 특정 웹사이트 파일 다운로드 실행
3. 공격자 PC에서 전송 이후 실행
서버 추가 기능
1. 업데이트 기능
2. 자기 삭제 기능
3. 종료
4. 접속 끊기
5. 재시작
탐지 가능 YARA
rule LeGend_RAT
{
meta:
autor = "Runardor"
family = "LeGend"
strings:
$a1 = "LeGend.Resources" wide
$a2 = "CurrentWallpaper.Bmp" wide
$a3 = "Select * From AntiVirusProduct" wide
$a4 = "Regoff" wide
condition:
all of ($a*)
}
'RAT 분석' 카테고리의 다른 글
Revenge-RAT (0) | 2016.08.25 |
---|