1. Windows 10 License activator를 통해 확한되는 BitRAT
Reference: https://asec.ahnlab.com/en/32781/ / https://www.bleepingcomputer.com/news/security/bitrat-malware-now-spreading-as-a-windows-10-license-activator/
불법 복제한 Windows를 무료로 활성화 할 때 사용하는 라이센스 활성화 프로그램을 사용하여 BitRAT 악성코드 배포 캠페인이 진행중이다. BitRAT 은 사이버 범죄 포럼이나 다크웸에서 최저 $20에 판매되는 강력한 RAT이다. BitRAT 은 AveMaria 와 마찬가지로 공개된 TinyNuke 코드를 사용한다.
악성코드는 웹하드에 업로드 되었으며 제목은 “[새로운][빠른 설치]Windows 라이선스 확인[원클릭]”으로 확인된다. Program.zip 이라는 압축파일이 다운로드 되고, 패스워드 1234 로 잠겨있다. 해당 압축 파일 안에는 W10DigitalActivation.exe 라는 라이센스 확인 도구가 포함된다.
W10DigitalActivation.exe 은 W10DigitalActivation.msi 라는 실제 정상 툴과 W10DigitalActivation_Tmp.msi 라는 악성코드를 담고 있는 파일이며, 설치를 하면 두 파일이 모두 설치된다.
W10DigitalActivation_Tmp.msi 는 추가 악성코드를 다운받는 downloader이며, 실행 시 C2 서버와 통신하여 추가 페이로드에 대한 다운로드 url을 얻는다. 다운로더는 궁극적으로 powershell 명령을 통해 악성코드가 설치 될 Windows 시작프로그램 폴더를 Defender의 예외 경로로 추가하며, BitRAT 를 %TEMP% 경로에 Software_Reporter_Tool.exe 라는 이름으로 설치한다.
BitRAT 기능
- 네트워크 통신
- TLS 1.2를 이용한 암호화 통신
- Tor 사용한 통신
- 기본 컨트롤
- 프로세스 매니저
- 서비스 매니저
- 파일 매니저
- Windows 매니저
- 소프트웨어 매니저
- 정보 탈취
- 키로깅
- 클립보드
- 웹캠
- 오디오
- 앱(웹 브라우저) 크리덴셜
- 원격 컨트롤
- 원격 데스크탑
- hVNC(Hidden Desktop)
- 프록시
- SOCKS5 Proxy: UPnP를 이용한 포트 포워딩
- Reverse Proxy: SOCKS4 proxy
- 코인 마이닝
- XMRig 코인마이너
- 기타
- DDoS
- UAC
- Windows Defender deactivation
IOC
dropper MD5
- 6befd2bd3005a0390153f643ba248e25
Downloader MD5
- 60ee7740c4b7542701180928ef6f0d53
- c4740d6a8fb6e17e8d2b21822c45863b
BitRAT MD5
- b8c39c252aeb7c264607a053f368f6eb
- e03a79366acb221fd5206ab4987406f2
- ea1b987a7fdfc2996d5f314a20fd4d99
- 54ef1804c22f6b24a930552cd51a4ae2
Downloader C2
- hxxp://cothdesigns[.]com:443/1480313
- hxxp://cothdesigns[.]com:443/4411259
- hxxp://jmuquwk.duckdns[.]org:443/1480313
- hxxp://nnmmdlc.duckdns[.]org:443/1480313
Additional Payload Download URL - Downloader
- hxxp://kx3nz98.duckdns[.]org:443/v/V_1267705.exe
- hxxp://108.61.207[.]100:443/v/V_5248849.exe
Additional Payload Download URL - BitRAT
- hxxp://kx3nz98.duckdns[.]org:443/v/A_1992262.exe
- hxxp://108.61.207[.]100:443/result/A_1146246.exe
BitRAT C2
- z59okz.duckdns[.]org:5223
- cothdesigns[.]com:80'깔짝할짝' 카테고리의 다른 글
| 2022-04-05 Tue (0) | 2022.04.05 |
|---|---|
| 2022-03-23 Wed (0) | 2022.03.23 |
| 2022-03-21 Mon (0) | 2022.03.21 |
| 202-03-18 Fri (0) | 2022.03.18 |
| 2022-03-16 Wed (0) | 2022.03.16 |