[기사분석4] 관련 개념정리(Remcos 악성코드)

Remcos 악성코드

RAT 이란?

RAT은 Remote Administration Tool의 약자(Remote Access Trojans의 약자라는 말도 있다. 의미가 비슷하다.)로 원격으로 기술 장치를 완전히 제어할 수 있는 소프트웨를 의미한다. RAT은 엑세스 권한이 있는 사람에게 파일에 엑세스하고, 카메라를 사용하고, 장치를 켜거나 끌수도 있는 기능을 제공한다.

 

RAT은 합법적으로 사용할 수 있지만 일반적으로 악의적인 목적을 가지고 사용하는 해커들이 사용한다. 따라서 RAT은 사용자가 요청한 합법적인 프로그램(게임 등)으로 사용자 모르게 다운로드되는 경우가 많기 때문에 더욱 위험하다. RAT이 장치에 설치되면 정보를 훔치고, 키보드를 차단하고, 다른 멀웨어를 설치하고, 장치를 쓸모없게 만드는 등 다양한 작업을 할 수 있다.

 

McAfee에서 제안하는 RAT 설치 예방 방법은 다음과 같다.

 

1. 어떤 링크를 클릭하고 무엇을 다운로드 하는지 주의깊게 확인하기 (RAT은 이메일 첨부 파일을 열거나 백그라운드에서 소프트웨어를 방문한 후 자신도 모르게 설치된다.)

 

2. P2P 파일 공유 주의하기 (파일의 많은 콘텐츠가 불법 복제될 뿐만 아니라 범죄자들은 멀웨어를 P2P 파일에 집어넣음)

P2P 는 Peer to Peer networking의 의미를 가지고 있다.

P2P 네트워크는 컴퓨터 하드웨어와 소프트웨어가 서버 없이도 통신 할 수 있게 한다. P2P 파일 공유는 P2P 네트워크를 통해 디지털 미디어를 배포하는 것을 의미하며 파일은 개인 컴퓨터에 저장되어 중앙서버가 아닌 다른 네트워크 구성원과 공유된다.

P2P 파일 공유가 위험한 이유는 다음과 같다.

1. 막대한 양의 개인 정보가 P2P 네트워크를 통해 공유되고 도난당할 수 있다.

2. 파일 공유는 불법이 아니지만 저작권으로 보호 된 자료를 공유하는 것은 불법이다.

3. P2P 파일 공유는 데이터 프라이버시를 기대하지 않는다.

4. 공유 파일에 포함 된 트로이 목마 및 바이러스에 노출 될 가능성이 높다.

 

3. 모든 장치에 보안 소프트웨어 사용하기 (하지만 기사분석4에서 소개된 Remcos 악성코드는 보안 소프트웨어를 우회해 실행되었다.)

 

Remcos 악성코드란?

Remcos 악성코드는 RAT의 한 종류로 컴퓨터를 원격으로 제어하는 데 사용되 Remcos가 실행되면 컴퓨터에서 백도어를 열어 원격 사용자에게 전체 엑세스 권한을 부여한다. (그래서 이스트시큐리티 보고서에서 backdoor 관련 탐지명으로 구분한 것 같다.)

backdoor란 시스템에 접근하기 위한 정상적인 인증 절차를 무효화하는 악성코드 유형이다. 결과적으로 데이터베이스 및 파일 서버와 같은 애플리케이션 내의 리소스에 대한 원격 액세스가 허용되어 공격자가 원격으로 시스템 명령을 실행하고 멀웨어를 업데이트 할 수 있어진다.

Remcos는 원격 지원을 위한 목적으로 개발되었지만 악용되고 있다. 그 이유는 Remcos 기능 중 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어뿐만 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능 등도 제공하기 때문이다. 또한 사용자가 눈치채지 못하게 백그라운드에서 정상 프로그램으로 위장하여 실행 가능하게 해주는 옵션이 존재한다. 

보통 Remcos는 악성 이메일 첨부 파일로 도착하거나 다른 멀웨어에 의해 다운로드 됨으로써 감염된다.

 

기사분석4에 나온 실행 과정과 다르게 동작하는 Remcos 악성코드의 실행 과정

출처 : https://isarc.tachyonlab.com/2374

1. ISO 확장자로 압축된 파일 내부에는 PDF 파일로 위장한 실행파일1 이 존재한다. (ISO 파일은 CD나 DVD 등의 디스크의 내용을 하나의 파일로 저장해 놓은 디스크 이미지 파일이다.)

2. 실행파일1 이 실행될 경우 확장자가 bmp인 암호화된 이미지 파일과 실행파일2 를 드롭하고 실행한다.

3. 실행파일 2가 실행되면 bmp 파일 내부에 존재하는 암호화된 데이터를 복호화한다. 메모리 상에 dll 파일(복호화 된 데이터가 dll 파일)을 생성하고 로드한다.

4. 해당 dll 파일의 리소스 영역은 암호화되어있기 때문에 복호화 해 Remcos RAT 악성코드를 실행한다.

5. Remcos 악성코드는 C&C 서버와 연결을 시도하며 원격 명령을 수행한다.

C&C 서버란 명령 및 제어 서버를 의미하며 공격자가 제어하는 컴퓨터이다. 멀웨어에 의해 손상된 시스템에 명령을 보내고 대상 네트워크에서 도난 당한 데이터를 수신하는데 사용된다.

---

참고문헌 :

https://www.trendmicro.com/vinfo/us/security/definition/command-and-control-server                                                 https://www.imperva.com/learn/application-security/backdoor-shell-attack/                                                                     https://ko.eyewated.com/p2p-%ED%8C%8C%EC%9D%BC-%EA%B3%B5%EC%9C%A0-%EC%9D%B4%ED%95%B4/ https://blog.alyac.co.kr/m/4486                                                                                           https://www.mcafee.com/blogs/privacy-identity-protection/what-is-rat/                                                                   https://isarc.tachyonlab.com/2374                                                                          https://asec.ahnlab.com/ko/16269/

---

Remcos 악성코드 실행 과정에서 3번 동작 방식이 스테가노그래피와 비슷하다고 생각했다.