자유 게시판

[보Antory]Nanocore 분해

2021.04.30 12:08

Antory 조회:362 추천:1

코너 이름 관련 : 최근 보안 관련 글을 올리고 있는데 그냥 코너 이름을 정해버렸습니다

 

Nanocore를 모르는 분들을 위해 소개하자면 njRAT과 마찬가지로 RAT 바이러스로 주요 기능으로는 키로깅, 스크린샷 캡처, 웹캠 제어,

웹 브라우저, 이메일, FTP 클라이언트의 계정 정보 수집 등이 있다 AgentTesla, Formbook, AveMaria, Remcos 등의 기능과 유사하다

 

어둠의 세계에서 판매되고 있었으나 2016년에 판매자가 체포되었다 그러나 크랙이 공개되며 현재까지도 스팸 메일 등으로 공격되고 있다

 

일단 디컴파일을 시작해보면

난독화해제전.png

 

패킹이나 암호화를 딱히 하지 않았음에도 난독화가 적용되어 함수를 알아보기 힘든 것을 알 수 있다

de4dot을 통해 난독화를 해제해보면 각 Class마다 공격 코드가 입력되어 있는 것을 확인할 수 있었다

대표적으로 브라우저의 계정 정보 수집

브라우저정보수집.png

PC종료,PC재부팅, Windows Defender 실시간 검사 on/off 등 PC제어

PC제어.png

 

DDoS를 위해 네트워크에 접속시키는 코드까지

네트워크접속.png

 

정말 RAT에 사용되는 대부분의 코드가 있었다

또한 Nanocore의 특징 중 하나가 바로 플러그인 개념인데 이러한 플러그인을 통해 작업을 지시하는 코드도 있었다

너무 무섭다 참...

이러한 악성코드는 주로 스팸메일이나 크랙 등을 통해 유포되기에

항상 조심해야 겠다

https://windowsforum.kr/free/16051402 홈으로 위로 목록
홈으로 위로 목록
번호 제목 글쓴이 조회 등록일
[공지] 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] gooddew - -
1739 AMD 2020년 로드맵? CanDoIT 377 08-10
1738 삼성 인도 광고 - We’ll take care of you, wherever you are. [1] asklee 377 02-08
1737 월페이퍼 비율 조정 부탁드립니다. [4] 현민지 376 06-04
1736 장필순 - 제비꽃 [3] 눈이 376 07-13
1735 별이 빛나는 밤에 - Nights in White Satin [2] 둔갑술사_ 376 07-01
1734 마이크로 엣지가 복구안되요 해결방법아시는분 뭐필요하우 376 01-14
1733 최근 2년치까지 최종복구 완료됐군요 [1] 컨피그 376 12-14
1732 요즘 철이님 근황이 궁금? 기수 376 05-04
1731 [방송종료] 윈도10 인사이더 프리뷰 Webcast 방송 예정 [3] suk 376 08-29
1730 오늘 비그치고 나니.. 팍팍 찌네요 [4] 풀잎피리 375 08-12
1729 함수 그래프 bangul 375 11-24
1728 명절 차례, 윈포 회원님들은 어떻게 생각하세요? [2] 야수파 375 12-24
1727 웹 브라우저에서 History는 어떻게 번역하는게 좋다고들 보... [14] RoyalS 375 06-28
1726 長渕剛 - RUN 눈이 375 09-10
1725 남규리가 부릅니다.. 깊은 밤을 날아서~ [2] 윈도우창시 375 04-19
1724 Beach Club Records – Label Discography 2013-2019 MP3+FLAC 번개 375 04-17
1723 미세먼지가 시작되었습니다 ㅠㅠ [8] win10 375 10-16
1722 윈10 IP14986 지메일이 안들어가집니다...ㅠ jeje 375 12-23
1721 돈키호테 [3] 라랑 374 04-24
1720 단일파일 패킹하는 프로그램 소개 부탁드립니다. [1] 삼시세끼 374 04-24
홈으로 위로 목록
XE1.11.6 Layout1.4.8