🎣 고전 해킹 기법인 피싱 메일, 이번엔 보험사의 탈🎭을 쓰다
사건 정리
사건 과정
- 손해보험사를 위장한 피싱 메일 유포
- 해당 메일엔 html 파일 첨부
- html 파일 실행
- 자동으로 압축 파일 다운로드
- 압축 해제 시, .exe 파일 생성
- 해당 .exe 파일이 바로 악성 파일
- 악성 파일은 Remcos RAT 1.7 Pro 버전
공격기법
- Remcos RAT 1.7 Pro 악성코드 : 원격제어 악성코드
- 명령제어(C&C) 서버와의 통신 →
- 스크린 샷
- 키로깅, 키 스트로크 로깅(Keystroke logging) : 사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 행위
- 레지스트리 추가 및 편집
- 레지스트리 :마이크로소프트 윈도우 32/64비트 버전과 윈도우 모바일 운영 체제의 설정과 선택 항목을 담고 있는 데이터베이스
- 모든 하드웨어, 운영 체제 소프트웨어, 대부분의 비운영 체제 소프트웨어, 사용자 PC 선호도 등에 대한 정보와 설정이 들어 있다
- 레지스트리 :마이크로소프트 윈도우 32/64비트 버전과 윈도우 모바일 운영 체제의 설정과 선택 항목을 담고 있는 데이터베이스
- 공격자 명령 실행
- 사용자 PC 브라우저의 쿠키 데이터와 로그인 정보 수집
- 명령제어(C&C) 서버와의 통신 →
공격 기법 알아보기
- Remcos RAT 1.7 Pro 악성코드
- Remcos : RAT(Remote Administration Tool)의 악성코드, 원격 관리를 위한 RAT 도구로 쓰인다.
- 수년 전부터 스팸 메일을 통해 꾸준히 유포
- 사용자가 눈치채지 못하게 백그라운드에서 정상 프로그램으로 위장하여 실행 가능하게 해주는 옵션들도 존재
- Remcos의 제작자는 정상적인 기능들을 홍보하며 악의적인 사용을 금지한다고 강조
- ↔ 실제 지원되는 기능들은 악성코드에서나 지원되는 기능들을 다수 포함
- 현재 확인되는 Remcos RAT은 대부분 위의 사건과 같은 형태의 스팸 메일을 통해 유포
- 명령제어(C&C) 서버 : Command & Control(명령제어)서버
- 원격에서 좀비PC를 관리하고 공격 명령을 내리는 사이버 공격의 두뇌역할
- 해커가 미리 악성 코드를 배포해 ‘좀비’상태로 PC를 감염시키면 → 해당 PC는 이 C&C서버의 명령을 받게 된다.
- 좀비 PC의 화면 상태를 고스란히 볼 수 있다.
- 키보드로 입력하는 정보를 다 빼내 볼 수도 있다.
- 해커의 ‘공격명령’을 수행하는 지휘사령부 같은 역할
- 감염된 좀비PC 이용자는 자신의 PC가 C&C서버의 명령을 받고 있다는 것을 스스로 인지하기가 대단히 어려움
- 익명 네트워크인 토르(Tor) 기반의 C&C를 악용해 해커의 위치를 추적하지 못하도록 함.