[2024 동계 모각코] 2025-01-07(화) 결과

1. RAT(Remote Access Trojan)의 기본 구조와 동작 원리 학습

1.1. RAT의 개념

• 정의
  • 공격자가 피해자의 시스템을 원격으로 제어할 수 있게 해주는 악성코드
• 특징
  • 합법적인 소프트웨어로 위장하여 시스템에 백도어를 생성하여 무단 원격 액세스 및 제어를 허용
  • 정상적인 원격 관리 도구(RMT)와 달리 은닉성, 지속성, 제어권한 탈취에 초점을 맞춤
  • 클라이언트-서버 구조로 설계되어 있으며, 공격자의 C&C 서버와 지속적으로 통신하며 명령을 수신하고 실행 결과를 전송
  • Initial access와 Lateral movement 단계에서 RAT를 사용하는 사례가 증가
• 왜 RAT이 확산되는걸까?
  • 코로나 이후 개인이나 기업 등 다양한 산업에서 원격 접속프로그램 사용이 활발해짐
• RAT을 통한 감염 사례 [1]
  • 2013년 .NET Framework를 이용하여 제작된 RAT로 2013년 최초 발견 이후 중동의 공격자들이 많이 사용 (njRAT)
  • 2020년 6월, 하나은행 해킹 (Gh0st RAT)
  • 2020년, 북한추정 공격그룹인 히든코브라(HIDDEN COBRA)에서 방위산업업체를 공격하기 위해 원격접속 악성코드를 제작해 유포(BLINDINGCAN)
  • 2021년 2분기 17%에서 2021년 3분기 36%로 급상승

 

[그림 1] 정상 프로그램과 악성코드 동작 시나리오 (출처 IGLOO 블로그)

 

• 정상 프로그램 (원격 접속 도구)
  • 원격 데스크톱(RDP)
    • 윈도우 기반 데스크톱, 서버에 기본적으로 설치된 원격 접속 도구 (3389 port)
  • 팀뷰어(TeamViewer)
    • 5938(TCP/UDP) 포트를 이용
    • (불가능 시) 443(TCP), 80(TCP) 포트 이용
  • 크롬 원격 데스크톱(Chrome Remote Desktop)
    • 443(HTTPS/TCP) 포트를 이용
    • 접속한 원격 PC의 상태 확인을 위한 3478(TCP/UDP) 포트를 추가로 이용

1.2. RAT의 핵심 기능

• 시스템 제어 기능
  • 프로세스 생성/종료/수정 권한 획득
  • 레지스트리 및 파일시스템 접근/수정
  • 시스템 설정 변경 및 권한 상승
  • 원격 셸 접근을 통한 명령어 실행
• 정보 수집 기능
  • 키로깅을 통한 키보드 입력 모니터링
  • 화면 캡처 및 실시간 모니터링
  • 오디오/비디오 녹화 기능
  • 브라우저 데이터 및 자격증명 탈취
  • 시스템 정보 수집 (하드웨어, 설치된 프로그램 등)
• 실제 활발히 사용된 RAT를 통한 악성 행위 및 기능
  • Gh0st RAT
    • 공격자 PC에서 gh0st.exe 실행 시 제어 가능한 PC 목록 및 실행 파일 생성 메뉴가 확인되며 실행 파일 실행 시 피해자 PC 목록에 등록되어 원격 제어가 가능
    • 기능
      • 파일 관리
      • 화면 제어
      • 키로거
      • 원격 터미널
      • 시스템 관리
      • 실시간 화면
      • 음성 녹음
      • 세션 관리
      • 기타 기능
      • 메모 설정
      • 연결 종료
  • njRAT (Bladabindi)
    • 공격자 PC에서 njRAT 클라이언트 파일 생성하여 서버, 포트 및 감염된 대상의 이름과 프로세스 보호 및 시작 프로그램, 레지스트리를 이용한 지속적인 실행, Anti VM 및 코드 난독화 등 다양한 기능을 미리 설정 후 클라이언트 파일 생성이 가능
    • UAC 우회를 위해 SEE_MASK_NOZONECHECKS 값을 1로 변경하여 환경변수에 저장하는데 이를 통해 인트라넷에서 다운로드 받은 파일로 설정하여 실행 시 경고창이 뜨지 않도록 우회 가능
    • Protect Process 옵션을 사용하여 악성코드의 프로세스를 시스템 필수 프로세스로 속여 강제 종료 시 CRITICAL_PROCESS_DIED 오류의 블루스크린을 발생시킬 수 있음
    • 기능
      • 시스템 관리
      • 파일 실행
      • 화면 공유
      • 원격 캠 활성화
      • 음성 녹음
      • 패스워드 정보
      • 키로깅
      • 채팅 활성화
      • 피해자 PC 관리
      • 저장된 폴더 열기

2. RAT의 은닉 및 탐지 회피 기술

• 실행 프로세스 은닉
  • DLL 인젝션을 통한 정상 프로세스 위장
  • 프로세스 할로윙으로 메모리 은닉
  • 루트킷 기술을 활용한 시스템 레벨 은닉
  • 파일리스(Fileless) 실행 기법 활용
• 지속성 유지 메커니즘
  • 레지스트리 자동실행 키 등록
  • 시스템 서비스로 등록
  • WMI 이벤트 구독 활용
  • 부트섹터 수정을 통한 부팅 시 자동실행

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

• 네트워크 통신 은닉
  • C&C 통신의 암호화
  • DNS 터널링을 통한 통신 은닉
  • HTTP/HTTPS 등 정상 프로토콜 위장
  • Reverse Connection 방식 활용

3. 최신 RAT 동향 분석

• 클라우드 기반 C&C 활용
  • 클라우드 서비스를 C&C 서버로 활용하여 탐지 회피
  • 클라우드 스토리지를 통한 데이터 유출 시도
  • API 기반의 유연한 제어 구조 구현
• 은닉 기술 고도화
  • AI 기반 행위 패턴 조정
  • 메모리 전용 실행 및 암호화
  • 안티 VM/디버깅 기술 적용
  • 코드 난독화 및 패킹 기술 사용

 

📎 참고 자료
[1] "원격 액세스 트로이목마(RAT)란 무엇인가요?", CHECK POINT, https://www.checkpoint.com/kr/cyber-hub/threat-prevention/what-is-remote-access-trojan/
[2] "원격 접속 도구(RAT)의 두 얼굴", IGLOO, 2022.03.02, https://www.igloo.co.kr/security-information/%EC%9B%90%EA%B2%A9-%EC%A0%91%EC%86%8D-%EB%8F%84%EA%B5%ACrat%EC%9D%98-%EB%91%90-%EC%96%BC%EA%B5%B4/
[3] "원격 제어 도구들을 이용한 감염 시스템 제어 – EDR 탐지 (2)", ASEC 블로그 - AhnLab, 2024.11.20, https://asec.ahnlab.com/ko/84654/