자유 게시판

[보Antory]Nanocore 분해

2021.04.30 12:08

Antory 조회:362 추천:1

코너 이름 관련 : 최근 보안 관련 글을 올리고 있는데 그냥 코너 이름을 정해버렸습니다

 

Nanocore를 모르는 분들을 위해 소개하자면 njRAT과 마찬가지로 RAT 바이러스로 주요 기능으로는 키로깅, 스크린샷 캡처, 웹캠 제어,

웹 브라우저, 이메일, FTP 클라이언트의 계정 정보 수집 등이 있다 AgentTesla, Formbook, AveMaria, Remcos 등의 기능과 유사하다

 

어둠의 세계에서 판매되고 있었으나 2016년에 판매자가 체포되었다 그러나 크랙이 공개되며 현재까지도 스팸 메일 등으로 공격되고 있다

 

일단 디컴파일을 시작해보면

난독화해제전.png

 

패킹이나 암호화를 딱히 하지 않았음에도 난독화가 적용되어 함수를 알아보기 힘든 것을 알 수 있다

de4dot을 통해 난독화를 해제해보면 각 Class마다 공격 코드가 입력되어 있는 것을 확인할 수 있었다

대표적으로 브라우저의 계정 정보 수집

브라우저정보수집.png

PC종료,PC재부팅, Windows Defender 실시간 검사 on/off 등 PC제어

PC제어.png

 

DDoS를 위해 네트워크에 접속시키는 코드까지

네트워크접속.png

 

정말 RAT에 사용되는 대부분의 코드가 있었다

또한 Nanocore의 특징 중 하나가 바로 플러그인 개념인데 이러한 플러그인을 통해 작업을 지시하는 코드도 있었다

너무 무섭다 참...

이러한 악성코드는 주로 스팸메일이나 크랙 등을 통해 유포되기에

항상 조심해야 겠다

https://windowsforum.kr/free/16051402 홈으로 위로 목록
홈으로 위로 목록
번호 제목 글쓴이 조회 등록일
[공지] 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] gooddew - -
43896 좋은 밤 보내세요^^ [3] 몽길로이 825 08-02
43895 염치없습니다만 ㅠㅠ [16] 누군가 1756 08-01
43894 차량용 휴대폰 거치대 추천해 주세요 [6] gooddew 910 08-01
43893 달 탐사선 다누리 8월 5일 아침 발사 asklee 420 08-01
43892 하드디스크 전원불량 인식안됨 [10] 부키시 836 08-01
43891 사랑하는 사람 vs 사랑받는 사람 [1] 몽길로이 634 07-31
43890 Roy Orbison - Oh, Pretty Woman (from Black & White ... [2] 눈이 251 07-31
43889 X조 님 PE 최신 버전 구합니다 [1] 지룡자 878 07-31
43888 바람, 비, 구름 이미지로부터 날씨 예보해 보세요. [1] asklee 665 07-31
43887 [긴급속보]한글 귀신 랜섬웨어 조심하세요 [1] 개골구리 1847 07-31
43886 이 그래픽카드 제조사가 어디인가요? [6] 천상천하 995 07-31
43885 중국 인터넷 대충 837 07-31
43884 추리 퀴즈 풀어보세요~ [1] toz21 381 07-31
43883 Glen Check - Disco Elevator [5] 눈이 223 07-31
43882 바탕화면 작업 표시줄 시작폴더에 지정 아이콘 만들기 [5] 슈머슈마 517 07-31
43881 우영우가 그렇게 재미있나요? [5] 지디쵝오 643 07-31
43880 8월 행운 blacklink 315 07-31
43879 이건 아니라고 생각 합니다.. [21] 테츠로 1498 07-31
43878 휴대전화에서 동영상 편집 어플 사용하시는 분 어떤거 사용... [7] 하얀달 631 07-31
43877 혹시 이곡 있으신분 부탁드립니다 [4] 양치기영감 570 07-30
홈으로 위로 목록
XE1.11.6 Layout1.4.8