njRAT 안티바이러스 우회하기
2021.04.28 09:49
* 주의 : 본 글을 보안교육을 위해 제작되었습니다 이 글에서는 크립터 소스 코드도 알려주지 않음을 알립니다
혹시 이 글을 통해 크립터 사용법을 아실려는 분들(회사)는 나가주시기 바랍니다
일단 지난 번에 올린 '당신은 바이러스로부터 안전할까?'의 확장판으로 만들려다 어떠한 이유로(귀찮아서) 이제 쓰게 되었다
일단 프로젝트를 만든다
그다음 njRAT을 켜 서버파일을 만들고 이를 크립터에 넣어 암호화한 명령어를 모듈로 만든다(비공개)
그리고 기존 모듈을 삭제하고 config에 암호화 모듈을 넣는다
그리고 프로젝트 설정을 바꿔준다(비공개)
빌드 고!
마지막으로 Confuser로 패킹한다(Preset : Maximum)
지난번보다 상황이 더 나쁘다
우회된 메이저 안티바이러스 : AhnLab-V3, ALYac, Avast, Ikarus(AVG), Microsoft, Ad-Aware, BitDefender(non Theta), Sophos, Comodo, DrWeb
와중에 지난번에 깠던 Kaspersky는 정상인식한다
진짜 어이가 없어서 njRAT을 켜 암호화한 파일을 실행했더니 감염이 됐다!
AhnLab 블로그가면 허구한 날 말하는 것이 njRAT인데...
게다가 최강이라 믿던 Microsoft도...
진짜 조심해야 겠다
댓글 [8]
-
Antory 2021.04.28 09:52
-
내꼬 2021.04.28 10:00 좋은 도구를 어떻게 이용 하는가는 도덕적으로 가치관에 따라 다르니 부디 좋게만 이용하길 바랄뿐입니다.
-
Antory 2021.04.28 10:03
맞습니다 하지만 이를 통해 발전하지 않는 안티바이러스도 문제죠...
-
내꼬 2021.04.28 10:18 창과 빙패싸움입니다.
상업용으로 만든 제품인 비싼 공인사인을 하니 큰 문제가 없으나
개인이 만든 프로그램은 공인 코드사인 없으니 의심 1순위와 평가라는 조건에 합당해야 되는데
어느세월에 안전하다는 평가를 받을까요..
안타까울 따름입니다.
-
Antory 2021.04.28 10:50
이런데도 나라는 무슨 보안이니 하면서 개인이 만든 거는 개차반 취급하고
공인사인으로 갈라파고스가 되어 썩을대로 썩은 상업용을 사용하죠...
-
DarknessAngel 2021.04.28 14:14
그게 좀 웃기는건데, 돈만 주면 살 수 있는 인증서가 무슨 의미가 있다는건지 (EV정도 되면 모르지만)
거기에 요즘 대부분이 인터넷이나 네트워크로 받은걸 쓸껀데, 여기서 들어오는건 위험하고 로컬에서 생성된건 덜 위험하다고 취급하죠 (그럼 로컬에서 스크립트등으로 생성된 악성코드는 안전하고, NTFS Flag 제거 상위 권한도 요구 안 하니 넘 쉽고, 사용자만 귀찮음)
-
eohjun 2021.04.28 20:07
이런 글 보니 좀 불안하네요. V3 쓰고 있는데 ㅋㅋ
-
Antory 2021.04.29 09:27
V3 유료 기능은 사실 엔진보다 방화벽, 클라우드 차단, 행위 기반 차단으로 쓰기 때문에 큰 문제는 없습니다
다만 V3 Lite는 좀 위험하죠
오히려 이걸 실행하면 Wise Care 365에서 시작 프로그램, 레지스트리 건드린다고 막음ㅋㅋ