자유 게시판

[보Antory]Nanocore 분해

2021.04.30 12:08

Antory 조회:362 추천:1

코너 이름 관련 : 최근 보안 관련 글을 올리고 있는데 그냥 코너 이름을 정해버렸습니다

 

Nanocore를 모르는 분들을 위해 소개하자면 njRAT과 마찬가지로 RAT 바이러스로 주요 기능으로는 키로깅, 스크린샷 캡처, 웹캠 제어,

웹 브라우저, 이메일, FTP 클라이언트의 계정 정보 수집 등이 있다 AgentTesla, Formbook, AveMaria, Remcos 등의 기능과 유사하다

 

어둠의 세계에서 판매되고 있었으나 2016년에 판매자가 체포되었다 그러나 크랙이 공개되며 현재까지도 스팸 메일 등으로 공격되고 있다

 

일단 디컴파일을 시작해보면

난독화해제전.png

 

패킹이나 암호화를 딱히 하지 않았음에도 난독화가 적용되어 함수를 알아보기 힘든 것을 알 수 있다

de4dot을 통해 난독화를 해제해보면 각 Class마다 공격 코드가 입력되어 있는 것을 확인할 수 있었다

대표적으로 브라우저의 계정 정보 수집

브라우저정보수집.png

PC종료,PC재부팅, Windows Defender 실시간 검사 on/off 등 PC제어

PC제어.png

 

DDoS를 위해 네트워크에 접속시키는 코드까지

네트워크접속.png

 

정말 RAT에 사용되는 대부분의 코드가 있었다

또한 Nanocore의 특징 중 하나가 바로 플러그인 개념인데 이러한 플러그인을 통해 작업을 지시하는 코드도 있었다

너무 무섭다 참...

이러한 악성코드는 주로 스팸메일이나 크랙 등을 통해 유포되기에

항상 조심해야 겠다

https://windowsforum.kr/free/16051402 홈으로 위로 목록
홈으로 위로 목록
번호 제목 글쓴이 조회 등록일
[공지] 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] gooddew - -
45076 소니 사설수리점 있나요? [4] 심돌이 806 02-01
45075 dism at once [5] 엉구업당 737 02-01
45074 전국 지자체 취약계층 난방비 긴급 지원책 현황 [9] 상큼한아침 843 02-01
45073 2월1일부터 서울 택시 기본요금 4,800원 [1] 상큼한아침 242 02-01
45072 5만년만 혜성 온다…촬영 타이밍은 ‘1·2일 새벽 4·5시’ [1] 상큼한아침 315 02-01
45071 산업부, 취약계층 가스요금 최대 59만2천원까지 할인 [5] 상큼한아침 291 02-01
45070 "난방비 폭탄 맞은지 얼마됐다고"…2월엔 '장바구... [3] 상큼한아침 677 01-31
45069 CyberArticle 대체용으로 괜찮은 프로그램이 있으신가요? [3] 삼시세끼 258 01-31
45068 영화 던전 앤 드래곤 ʕ·ᴥ·ʔ 304 01-31
45067 샤잠2 ʕ·ᴥ·ʔ 374 01-31
45066 스팀덱 게임기 구매 가능 ʕ·ᴥ·ʔ 169 01-31
45065 넷플릭스 계정 공유 [1] ʕ·ᴥ·ʔ 570 01-31
45064 mame merged ?? [4] 익명 422 01-31
45063 HDD에 마이크로소프트 스토리지가 설정됐네요 [1] 『ⓖⓤⓝ』 830 01-31
45062 인터넷을 엘지u+ 쓰는데, 엊그제 인터넷이 먹통이길래 알아... [3] OOBERecord 788 01-31
45061 소득 3500만원 이하 저소득자, 신청 당일 100만원까지 '긴... [11] 상큼한아침 1447 01-31
45060 노트북 문의(인강 동영상 재생) [3] bsj00 419 01-30
45059 SJYG님 Windows 10 Pro 22H2(19045.2546) 2in1 순정, 유틸... [10] 더불어~~~ 909 01-30
45058 [자료요청] 즐겨 사용하던 PE였는데 저장되었던 하드가 수... [2] SUbSigNal 536 01-30
45057 테더링 가능한 PE 가 있는것 같은데 구하기가 힘드네요.. [3] 단단이화개 547 01-30
홈으로 위로 목록
XE1.11.6 Layout1.4.8