본문 바로가기

5. 방학 활동/보고서 분석

[2022.02.28] 방학활동 - 네트워크 해킹 및 보안 - '유명 손해보험사 위장 피싱 메일로 ‘Remcos’ 악성코드 유포'

🎣 고전 해킹 기법인 피싱 메일, 이번엔 보험사의 탈🎭을 쓰다

사건 정리

사건 과정

  1. 손해보험사를 위장한 피싱 메일 유포
    1. 해당 메일엔 html 파일 첨부
  2. html 파일 실행
  3. 자동으로 압축 파일 다운로드
  4. 압축 해제 시, .exe 파일 생성
    1. 해당 .exe 파일이 바로 악성 파일
    2. 악성 파일은 Remcos RAT 1.7 Pro 버전

공격기법

  • Remcos RAT 1.7 Pro 악성코드 : 원격제어 악성코드
    • 명령제어(C&C) 서버와의 통신 →
      • 스크린 샷
      • 키로깅, 키 스트로크 로깅(Keystroke logging) : 사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채어 기록하는 행위
      • 레지스트리 추가 및 편집
        • 레지스트리 :마이크로소프트 윈도우 32/64비트 버전과 윈도우 모바일 운영 체제의 설정과 선택 항목을 담고 있는 데이터베이스
          • 모든 하드웨어, 운영 체제 소프트웨어, 대부분의 비운영 체제 소프트웨어, 사용자 PC 선호도 등에 대한 정보와 설정이 들어 있다
      • 공격자 명령 실행
      • 사용자 PC 브라우저의 쿠키 데이터와 로그인 정보 수집

공격 기법 알아보기

  • Remcos RAT 1.7 Pro 악성코드
    • Remcos : RAT(Remote Administration Tool)의 악성코드, 원격 관리를 위한 RAT 도구로 쓰인다.
    • 수년 전부터 스팸 메일을 통해 꾸준히 유포
    본래 - 원격 지원을 위한 목적으로 또는 도난 시 민감한 데이터를 삭제하거나 추적하는 목적으로도 사용
    • 사용자가 눈치채지 못하게 백그라운드에서 정상 프로그램으로 위장하여 실행 가능하게 해주는 옵션들도 존재
    • Remcos의 제작자는 정상적인 기능들을 홍보하며 악의적인 사용을 금지한다고 강조
    • ↔ 실제 지원되는 기능들은 악성코드에서나 지원되는 기능들을 다수 포함
    • 현재 확인되는 Remcos RAT은 대부분 위의 사건과 같은 형태의 스팸 메일을 통해 유포
    변질 - 악의적으로 사용 가능한 다양한 기능들을 지원 (위에서 살펴본 공격기법)
  •  
  • 명령제어(C&C) 서버 : Command & Control(명령제어)서버
    • 원격에서 좀비PC를 관리하고 공격 명령을 내리는 사이버 공격의 두뇌역할
    • 해커가 미리 악성 코드를 배포해 ‘좀비’상태로 PC를 감염시키면 → 해당 PC는 이 C&C서버의 명령을 받게 된다.
    C&C 서버의 행동 범주
    • 좀비 PC의 화면 상태를 고스란히 볼 수 있다.
    • 키보드로 입력하는 정보를 다 빼내 볼 수도 있다.
    • 해커의 ‘공격명령’을 수행하는 지휘사령부 같은 역할
    • 감염된 좀비PC 이용자는 자신의 PC가 C&C서버의 명령을 받고 있다는 것을 스스로 인지하기가 대단히 어려움
    • 익명 네트워크인 토르(Tor) 기반의 C&C를 악용해 해커의 위치를 추적하지 못하도록 함.