LeGend-Rat

금일 정리할 내용은 LeGend-Rat 분석입니다.

해당 RAT는 Stub & Bulder는 .Net v2.0.50727 으로 컴파일 되어 있으며 ,2.0.50727 이상의 .Net 환경에서 동작합니다.

해당 RAT 툴의 기능은 아래와 같습니다.

서버 최초 생성 옵션

1. 프로세스 보호 ( BSOD )

2. 시작프로그램 자동실행 등록

3. 레지스트리 자동실행 등록

4. 스케쥴러 자동실행 등록

5. Slepp 기능

6. Mpress 압축 기능

7. 키로깅 셋팅

8. %APPDATA%, %TEMP%, WINDIR, UserProfile 등에 스스로 셋팅

9. 디폴트 포트 : 5552

Control Panel 

 Remote Desktop

1. 원격 조정 ( 마우스 및 키보드 조정)

2. 상대편 화면 보기

- Remote Webcam

1. 설치된 웹캠 화면 전송

- FileManager

1. 파일 원격실행

2. 파일 삭제

3. 파일 수정

4. 파일명 변경

5. 파일 복사 / 잘라내기 / 붙이기

7. 파일 업로드 / 다운로드

8. 빈파일 생성

9. 새로운 폴더 만들기

10. 특정 위치(웹)으로 부터 다운로드

11. RAR ( 압축 / 압축 해제 )

12. 특정 주소로 파일 업로드

- System Manager

1. 프로세스 리스트 확인

2. 프로세스 종료 / 재시작 / 멈추기 / 다시진행시키기

5. 서비스 조작 ( 시작 / 종료 / 멈추기 / 재시작 )

6. 레지스트리 키 ( 생성 / 수정 / 삭제 )

7. 원격 접속 리스트 확인

8. 원격 접속 프로세스 종료

9. Remote Shell 사용 ( CMD 명령 가능 )

추가 기능 ( Extra )

1. 키로깅

2. 시스템 정보 얻기

3. 시스템 패스워드 탈취

4. 호스트 파일 확인

5. 인스톨된 어플리케이션 정보 얻기

AV 제품 기능

- AV 제품 검색

- AV 제품 죽이기

FUN 기능

1. 바탕화면 배경 바꾸기

2. 활성화된 창 숨기기 / 나타내기

3. 특정 URL 접속 웹브라우저 실행

4. 컴퓨터 재시작 / 종료

5. 마우스 / 키보드 동작 못하게 하기 풀기

6. 메시지 박스 전송

파일 원격 실행

1. 특정 웹사이트서 스크립트 다운로드 실행

2. 특정 웹사이트 파일 다운로드 실행

3. 공격자 PC에서 전송 이후 실행

서버 추가 기능

1. 업데이트 기능

2. 자기 삭제 기능

3. 종료

4. 접속 끊기

5. 재시작

탐지 가능 YARA

rule LeGend_RAT

{

    meta:

        autor = "Runardor"

        family = "LeGend"

    strings:

$a1 = "LeGend.Resources" wide

        $a2 = "CurrentWallpaper.Bmp" wide

        $a3 = "Select * From AntiVirusProduct" wide

$a4 = "Regoff" wide

    condition:

        all of ($a*)

}