njRAT 안티바이러스 우회하기
2021.04.28 09:49
* 주의 : 본 글을 보안교육을 위해 제작되었습니다 이 글에서는 크립터 소스 코드도 알려주지 않음을 알립니다
혹시 이 글을 통해 크립터 사용법을 아실려는 분들(회사)는 나가주시기 바랍니다
일단 지난 번에 올린 '당신은 바이러스로부터 안전할까?'의 확장판으로 만들려다 어떠한 이유로(귀찮아서) 이제 쓰게 되었다
일단 프로젝트를 만든다
그다음 njRAT을 켜 서버파일을 만들고 이를 크립터에 넣어 암호화한 명령어를 모듈로 만든다(비공개)
그리고 기존 모듈을 삭제하고 config에 암호화 모듈을 넣는다
그리고 프로젝트 설정을 바꿔준다(비공개)
빌드 고!
마지막으로 Confuser로 패킹한다(Preset : Maximum)
지난번보다 상황이 더 나쁘다
우회된 메이저 안티바이러스 : AhnLab-V3, ALYac, Avast, Ikarus(AVG), Microsoft, Ad-Aware, BitDefender(non Theta), Sophos, Comodo, DrWeb
와중에 지난번에 깠던 Kaspersky는 정상인식한다
진짜 어이가 없어서 njRAT을 켜 암호화한 파일을 실행했더니 감염이 됐다!
AhnLab 블로그가면 허구한 날 말하는 것이 njRAT인데...
게다가 최강이라 믿던 Microsoft도...
진짜 조심해야 겠다
댓글 [8]
-
Antory 2021.04.28 09:52
-
내꼬 2021.04.28 10:00 좋은 도구를 어떻게 이용 하는가는 도덕적으로 가치관에 따라 다르니 부디 좋게만 이용하길 바랄뿐입니다.
-
Antory 2021.04.28 10:03
맞습니다 하지만 이를 통해 발전하지 않는 안티바이러스도 문제죠...
-
내꼬 2021.04.28 10:18 창과 빙패싸움입니다.
상업용으로 만든 제품인 비싼 공인사인을 하니 큰 문제가 없으나
개인이 만든 프로그램은 공인 코드사인 없으니 의심 1순위와 평가라는 조건에 합당해야 되는데
어느세월에 안전하다는 평가를 받을까요..
안타까울 따름입니다.
-
Antory 2021.04.28 10:50
이런데도 나라는 무슨 보안이니 하면서 개인이 만든 거는 개차반 취급하고
공인사인으로 갈라파고스가 되어 썩을대로 썩은 상업용을 사용하죠...
-
DarknessAngel 2021.04.28 14:14
그게 좀 웃기는건데, 돈만 주면 살 수 있는 인증서가 무슨 의미가 있다는건지 (EV정도 되면 모르지만)
거기에 요즘 대부분이 인터넷이나 네트워크로 받은걸 쓸껀데, 여기서 들어오는건 위험하고 로컬에서 생성된건 덜 위험하다고 취급하죠 (그럼 로컬에서 스크립트등으로 생성된 악성코드는 안전하고, NTFS Flag 제거 상위 권한도 요구 안 하니 넘 쉽고, 사용자만 귀찮음)
-
eohjun 2021.04.28 20:07
이런 글 보니 좀 불안하네요. V3 쓰고 있는데 ㅋㅋ
-
Antory 2021.04.29 09:27
V3 유료 기능은 사실 엔진보다 방화벽, 클라우드 차단, 행위 기반 차단으로 쓰기 때문에 큰 문제는 없습니다
다만 V3 Lite는 좀 위험하죠
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] | gooddew | - | - |
47374 | 나름 쓸만한... [2] |
|
157870 | 09-05 |
47373 | 오늘 AHCI모드로 설치했는데 나름 좋네요. [5] | .. | 146989 | 04-15 |
47372 | 마소가 유해사이트라고 판정한 것에 대한 나름 생각한건. [6] |
|
106096 | 04-05 |
47371 | 외국 토렌트 사이트 알려주세요 [2] |
|
87688 | 02-12 |
47370 | 세상사 다 생각하기 나름 아니겠는가 [5] | 나비popcorn | 67978 | 10-01 |
47369 | 윈도 8.1 인증툴에 낚이지 마세요. [22] |
|
60982 | 10-17 |
47368 | 구글에 KSSN이라고 검색하면 주민번호가 뜬다?? [21] |
|
52219 | 02-18 |
47367 | 카조님 오피스2010 lite 수정 좀... | 여자라서햄 | 49595 | 05-11 |
47366 | 키보드교체... [3] | Gim Gyu- | 48621 | 12-18 |
47365 | 카조님툴, WINAPI로 해봅니다.. | 진모씨 | 48178 | 12-15 |
47364 | 카조님~~감사합니다. |
|
47665 | 06-28 |
47363 | 카조님 a.i 툴로 인증하면... [2] | 크사이 | 47578 | 02-25 |
47362 | 카조님 툴에 관해 예전부터 궁금했던 점이 있습니다 [1] | 창조적 부 | 40136 | 04-01 |
47361 | 카조님 자료는 전부 삭제된 건가요? [3] | 큰돌♥ | 39531 | 04-05 |
47360 | 카조님 인증툴, MS 스파이넷에 보내라는 메세지. [1] |
|
38965 | 02-06 |
47359 | 카조님 블로그 옮김! [5] | 진모씨 | 38759 | 03-14 |
47358 | 카조님 Pirate7 + 토큰 최적화는 필수? [1] | 룰루랄 | 38320 | 12-04 |
47357 | 카조님이 탈퇴 하셨다죠? [6] |
|
37118 | 05-21 |
47356 | 나름 신기하네요. [6] | kokorozzin | 35520 | 03-26 |
47355 | 카조님 인증툴을 쓰다가... [1] |
|
35135 | 02-24 |
오히려 이걸 실행하면 Wise Care 365에서 시작 프로그램, 레지스트리 건드린다고 막음ㅋㅋ