한글 2022 크랙으로 위장한 Orcus Rat 유포

https://m.boannews.com/html/detail.html?tab_type=1&idx=113247 

한글 워드 프로세서 2022 크랙으로 위장한 Orcus RAT 유포

 

1. Orcus는 어떤 악성코드일까?

 

Orcus는 감염된 시스템을 원격으로 제어할 수 있는 원격 액세스 트로이 목마(Remote Access Trojans ,RAT) 악성코드

2019년 8월 경 "Cisco Talos"에서 "소비자 보호 단체 BBB"를 사칭한 피싱 이메일의 첨부파일을 통해 Orcus RAT 악성코드가 유포되었다고 알렸음.

 

인용 및 출처: https://isarc.tachyonlab.com/3756    

 

 

2. 원격 액세스 트로이 목마(RAT)에 대하여

 

먼저 COVID-19 발생 이후 근무 형태(재택 근무)가 다양화 되면서 원격 접속 프로그램 사용이 활발해졌음. 

2020년 6월 하나은행 해킹은 Gh0st RAT 악성코드, 북한추정 공격 그룹인 히든코브라에서 방위산업업체를 공격하기 위해 RAT 악성코드인, 블라인딩캔을 제작해 유포하는 등 원격 접속 프로그램을 통한 공격사례가 급증하고있음.

 

심지어 RAT는 Remote Access Tool 즉 원격 접속 도구로 많이 쓰이고있었으나 최근 급증한 공격사례로 인해 Remote Access Trojans의 약어로 사용되는 추세임. 

 

RAT는 감염된 시스템에 백도어(Backdoor)생성을 위해 쓰이는 경우가 많고 정상 프로그램에 악성코드를 삽입하여 재 유포를 하거나 이메일, 파일 공유 사이트 등 다양한 방법으로 유포를 시도하는 것이 특징임.

 

3. 원격 액세스 트로이 목마(RAT)는 어떤 행위가 가능할까?

 

일반적인 원격 접속 도구와는 다르게 정보탈취, PC모니터링 등 악의적인 목적으로 사용되는데, 악성 행위를 하는 RAT는 사용자 몰래 설치되어 피해자는 접속자가 누군지 확인이 불가능함. 보통 RAT는 아래 표의 행위가 가능함.

 

1	키로거 또는 기타 스파이웨어를 통한 사용자 모니터링
2	금융정보 또는 ID·PW와 같은 민감 정보에 접근
3	웹캠, 마이크 활성화를 통한 녹화·녹음
4	화면 캡쳐
5	바이러스 및 기타 악성 프로그램 배포
6	드라이브 포맷
7	파일 또는 파일 시스템 삭제, 다운로드 또는 변경

RAT가 수행 가능한 행위 목록

 

인용  및 출처 : https://www.igloo.co.kr/security-information/%EC%9B%90%EA%B2%A9-%EC%A0%91%EC%86%8D-%EB%8F%84%EA%B5%ACrat%EC%9D%98-%EB%91%90-%EC%96%BC%EA%B5%B4/

 

 

4. Orcus RAT의 작동

 

Orcus가 실행이 되면 사용자가 입력한 키 정보를 %appdata%\Orcus\klg_랜덤명.dat 파일에 Base64 방식으로 저장하고,

파일의 크기가 153.6KB 이상이면 해당 파일을 C2 서버로 전송함.

 

- c2 서버란? 

C&C 서버라 불리며 일반적으로 감염된 좀비PC가 해커가 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버

 

C2 서버에 연결이 되면 다양한 원격 명령을 통해 감염된 PC를 제어할 수 있고 원격 명령 중에는 공격자가 지정한 특정 URL로부터 추가 파일을 다운받을 수 있음.

 

또한 비밀번호 수집 명령에서는 해당하는 웹 브라우저, FTP, 이메일 클라이언트 프로그램을 대상으로 각 프로그램마다 민감한 정보가 저장된 파일 및 레지스트리에 접근하여 사용자 정보를 수집하고 연결된 C2 서버로 전송함.

 

 

Orcus RAT 악성코드의 특징 중 하나는 공격자가 실시간으로 구현한 C#, VB, Batch 소스 코드를 실행할 수 있는 기능이 존재함. 플러그인에는 자신의 프로세스를 크리티컬 프로세스로 만들어 강제종료할 경우 블루 스크린을 유발하는 기능도 있음.

 

 

5. 돌아와서 기사에 대하여

 

한글 워드 프로세서의 크랙 버전으로 위장하여 악성코드를 유포한 공격자는 과거 웹하드에서 윈도우 정품 인증 툴을 위장해 BitRat과 XMrig 코인 마이너를 유포하였던 공격자와 동일함.

 

1. 웹하드에 해당 악성코드 파일을 위장한 크랙 버전을 다운로드

2. 압축 해제를 하고 "install" 폴더 안에 "install.exe"파일을 실행하면 난독화된 파워쉘 명령을 실행하고 install 폴더내에 존재하는 실제 인스톨러 프로그램을 실행시킴.

3. 다운로더 악성코드는 "asdmon" 프로세스의 실행 여부 및 가상 머신 환경을 검사하여 분석 환경으로 판단된 경우 종료. 

4. 이후 설치 과정을 진행하기 이전에 감염 시스템의 사용자 이름, IP 주소 등의 기본적인 정보를 수집한 후 텔레그램 api를 이용해 전송

5. 보안프로그램이 설치되지 않으며 Telegram 또는 Visual Studio가 설치된 환경에 Orcus RAT을 설치

6. 제어 시작

 

인용및 출처 : https://www.boannews.com/media/view.asp?idx=113247&skind=5

 

 

 

결론 : 그렇다면 이러한 공격을 피할 수 있는 방법은?

뭐긴 뭐야 돈내고 프로그램 다운받고 정상적인 사이트에서 검증된 프로그램만 이용하는거지.

윈도우는 대학생들은 대부분 학교 이메일 인증을 하면 윈도우edu가 무료고 

office 365를 이용하면 워드를 이용해 한글 작업이 가능하구 뭐 아무튼 한글오피스를 꼭 이용해야한다 싶으면 그 학생들은 4만원 내고 뭐 사야죠. 네