자유 게시판

[보Antory]Nanocore 분해

2021.04.30 12:08

Antory 조회:381 추천:1

코너 이름 관련 : 최근 보안 관련 글을 올리고 있는데 그냥 코너 이름을 정해버렸습니다

 

Nanocore를 모르는 분들을 위해 소개하자면 njRAT과 마찬가지로 RAT 바이러스로 주요 기능으로는 키로깅, 스크린샷 캡처, 웹캠 제어,

웹 브라우저, 이메일, FTP 클라이언트의 계정 정보 수집 등이 있다 AgentTesla, Formbook, AveMaria, Remcos 등의 기능과 유사하다

 

어둠의 세계에서 판매되고 있었으나 2016년에 판매자가 체포되었다 그러나 크랙이 공개되며 현재까지도 스팸 메일 등으로 공격되고 있다

 

일단 디컴파일을 시작해보면

난독화해제전.png

 

패킹이나 암호화를 딱히 하지 않았음에도 난독화가 적용되어 함수를 알아보기 힘든 것을 알 수 있다

de4dot을 통해 난독화를 해제해보면 각 Class마다 공격 코드가 입력되어 있는 것을 확인할 수 있었다

대표적으로 브라우저의 계정 정보 수집

브라우저정보수집.png

PC종료,PC재부팅, Windows Defender 실시간 검사 on/off 등 PC제어

PC제어.png

 

DDoS를 위해 네트워크에 접속시키는 코드까지

네트워크접속.png

 

정말 RAT에 사용되는 대부분의 코드가 있었다

또한 Nanocore의 특징 중 하나가 바로 플러그인 개념인데 이러한 플러그인을 통해 작업을 지시하는 코드도 있었다

너무 무섭다 참...

이러한 악성코드는 주로 스팸메일이나 크랙 등을 통해 유포되기에

항상 조심해야 겠다

https://windowsforum.kr/free/16051402 홈으로 위로 목록
홈으로 위로 목록
번호 제목 글쓴이 조회 등록일
[공지] 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] gooddew - -
40000 잔머리 굴릴 여유를 안 주는 짜장면집 가격표 ? [5] 둔갑술사_ 1193 05-01
39999 랜카드가 기절 하는군요 [6] 내꼬 824 05-01
39998 애플 맥북에어/A1465/I5/4G/SSD256G 중고판매문의 [2] 씨케이 402 05-01
39997 매드맥스 - 분노의 도로 [2] 윈도우창시 743 05-01
39996 팝핀호안과 소울빈 댄스 [1] 윈도우창시 366 04-30
39995 진주 - 난 괜찮아 Allie Sherlock 이 불러요 ^^ [1] 윈도우창시 412 04-30
39994 11111111 [2] 스티어 1577 04-30
39993 Norah Jones - Sunrise 눈이 247 04-30
39992 김윤아 - 길 [1] 눈이 349 04-30
39991 Grace Sewell - You Don't Own Me 눈이 116 04-30
39990 처음보는 신기한증상인데 경험해보신분계신가요 [3] 돈까발리 992 04-30
39989 문득 베이스 기타가 배우고 싶어지네요 ^^ [5] lakeside 400 04-30
39988 푸바스킨 스크롤바가 큰데 조금 줄이려면 어떤걸 건드려야 ... [7] lang2 386 04-30
39987 음하하하하하하하하하 이제 촌에 갈수있네요 [14] 선우 1042 04-30
» [보Antory]Nanocore 분해 [2] Antory 381 04-30
39985 ventoy HDD GPT 파티션 도전기... [5] 메인보드 562 04-30
39984 개발자용 폰트 추천 [4] Antory 631 04-30
39983 이미지파일 수정 부탁드립니다. [6] QOR 696 04-29
39982 지금 19042.962 쓰고 있는 중인데.. [4] 롤린 909 04-29
39981 이게 뭐죠? [7] Antory 1193 04-29
홈으로 위로 목록
XE1.11.6 Layout1.4.8