Backdoor.RAT 악성코드가 포함된 패킷 분석

RAT(Remote Access Trojan)은 대규모 스팸 메일을 통해 전파될 수 있는 악성코드이다.

 

이번엔 RAT 악성코드를 갖는 xls파일(엑셀 파일)을 대상으로 분석한다.

 

 

먼저 문서형 파일 분석도구인 oledump 도구를 이용해 분석해본다.

 

 

oledump.py invoice.xls 명령어를 입력했지만 일반적으로 문서형 악성코드에서 발견되는 매크로가 보이지 않는다.

이는 매크로4.0 에서 제공하는 숨김기능 때문이며 oledump 툴의 plugin_biff 옵션을 사용해 숨겨진 매크로를

확인할 수 있다.

 

 

oledump.py -p plugin_biff --pluginoptions "-x" invoice.xls 명령어를 통해 다음과 같은 결과를 얻을 수 있고

분석해보면 다음과 같다.

 

Excel 4.0macro sheet hidden : 매크로 4.0 기준의 숨겨진 매크로 존재

Auto open : 실행 시 security warning 버튼이 보이고 클릭 시 실행시키는 역할

Exec : Exec 함수 호출

CONCATENATE : 문자열(msiexe.exeE~, /i http://~) 등을 연결하는 함수

Msiexec.exe ~ http://~ : ip 에 접속하여 악성코드 다운로드 및 실행

 

→ 즉 http://185.128.213.12 에 접속해 rol1/xxx 파일을 다운로드 함

 

 

 

pcap 파일을 네트워크마이너로 열고 Sessions 탭에서 총 5개의 세션을 확인할 수 있다

하지만 와이어샤크에서 보면 총 11개가 존재함을 확인할 수 있고 각각의 도구를 비교해가며 분석하는게 베스트다.

 

 

Filees 탭에 다음과 같이 파일 다운로드를 2개 한 것을 볼 수 있다.

 

4번째 Frame을 와이어샤크로 보면 다음과 같다.

 

/rol3 파일을 다운받고 있고 이 파일을 hybrid-analysis에서 분석해보았다.

 

 

 

 

확실하게 악성코드이다. 읽어보면 다음과 같다.

1) GUID를 수집 → 감염된 PC를 구분하기 위한 정보

2) 안티바이러스 엔진의 존재를 확인 → 안티바이러스 엔진 종료 & 차단을 위해(EX) V3LITE 등)

3) 가상환경실행여부를 확인 → 가상환경 시에 악성코드 동작 X

4) Adware 탐지툴 여부를 확인

 

이것들에 대한 정보를 와이어샤크에서 볼 수 있는데 네트워크마이너와 와이어샤크의 세션 비교 중 

네트워크마이너에는 없지만 와이어샤크에는 있는 세션의 맨 첫 Frame을 가져왔는데 다음과같이

id, os정보 등을 전송하는것을 볼 수 있다.