njRAT 안티바이러스 우회하기
2021.04.28 09:49
* 주의 : 본 글을 보안교육을 위해 제작되었습니다 이 글에서는 크립터 소스 코드도 알려주지 않음을 알립니다
혹시 이 글을 통해 크립터 사용법을 아실려는 분들(회사)는 나가주시기 바랍니다
일단 지난 번에 올린 '당신은 바이러스로부터 안전할까?'의 확장판으로 만들려다 어떠한 이유로(귀찮아서) 이제 쓰게 되었다
일단 프로젝트를 만든다
그다음 njRAT을 켜 서버파일을 만들고 이를 크립터에 넣어 암호화한 명령어를 모듈로 만든다(비공개)
그리고 기존 모듈을 삭제하고 config에 암호화 모듈을 넣는다
그리고 프로젝트 설정을 바꿔준다(비공개)
빌드 고!
마지막으로 Confuser로 패킹한다(Preset : Maximum)
지난번보다 상황이 더 나쁘다
우회된 메이저 안티바이러스 : AhnLab-V3, ALYac, Avast, Ikarus(AVG), Microsoft, Ad-Aware, BitDefender(non Theta), Sophos, Comodo, DrWeb
와중에 지난번에 깠던 Kaspersky는 정상인식한다
진짜 어이가 없어서 njRAT을 켜 암호화한 파일을 실행했더니 감염이 됐다!
AhnLab 블로그가면 허구한 날 말하는 것이 njRAT인데...
게다가 최강이라 믿던 Microsoft도...
진짜 조심해야 겠다
댓글 [8]
-
Antory 2021.04.28 09:52
-
내꼬 2021.04.28 10:00 좋은 도구를 어떻게 이용 하는가는 도덕적으로 가치관에 따라 다르니 부디 좋게만 이용하길 바랄뿐입니다.
-
Antory 2021.04.28 10:03
맞습니다 하지만 이를 통해 발전하지 않는 안티바이러스도 문제죠...
-
내꼬 2021.04.28 10:18 창과 빙패싸움입니다.
상업용으로 만든 제품인 비싼 공인사인을 하니 큰 문제가 없으나
개인이 만든 프로그램은 공인 코드사인 없으니 의심 1순위와 평가라는 조건에 합당해야 되는데
어느세월에 안전하다는 평가를 받을까요..
안타까울 따름입니다.
-
Antory 2021.04.28 10:50
이런데도 나라는 무슨 보안이니 하면서 개인이 만든 거는 개차반 취급하고
공인사인으로 갈라파고스가 되어 썩을대로 썩은 상업용을 사용하죠...
-
DarknessAngel 2021.04.28 14:14
그게 좀 웃기는건데, 돈만 주면 살 수 있는 인증서가 무슨 의미가 있다는건지 (EV정도 되면 모르지만)
거기에 요즘 대부분이 인터넷이나 네트워크로 받은걸 쓸껀데, 여기서 들어오는건 위험하고 로컬에서 생성된건 덜 위험하다고 취급하죠 (그럼 로컬에서 스크립트등으로 생성된 악성코드는 안전하고, NTFS Flag 제거 상위 권한도 요구 안 하니 넘 쉽고, 사용자만 귀찮음)
-
eohjun 2021.04.28 20:07
이런 글 보니 좀 불안하네요. V3 쓰고 있는데 ㅋㅋ
-
Antory 2021.04.29 09:27
V3 유료 기능은 사실 엔진보다 방화벽, 클라우드 차단, 행위 기반 차단으로 쓰기 때문에 큰 문제는 없습니다
다만 V3 Lite는 좀 위험하죠
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] | gooddew | - | - |
| 40103 | 부탁 드리겠습니다.. [5] | 테츠로 | 718 | 05-01 |
| 40102 | 윈도우 스토어를 복원할 예정입니다. [5] | maniaa | 663 | 05-01 |
| 40101 | 윈10 작업표시줄에 날씨와 뉴스가 생겼네요! [4] | 『ⓖⓤⓝ』 | 1868 | 05-01 |
| 40100 | 아침에 인터넷 as신청 했는데 월요일에 온대요 [2] |
|
605 | 05-01 |
| 40099 | 인사말 [13] |
|
534 | 05-01 |
| 40098 | 잔머리 굴릴 여유를 안 주는 짜장면집 가격표 ? [5] |
|
1185 | 05-01 |
| 40097 | 랜카드가 기절 하는군요 [6] |
|
803 | 05-01 |
| 40096 | 애플 맥북에어/A1465/I5/4G/SSD256G 중고판매문의 [2] | 씨케이 | 388 | 05-01 |
| 40095 | 매드맥스 - 분노의 도로 [2] | 윈도우창시 | 725 | 05-01 |
| 40094 | 팝핀호안과 소울빈 댄스 [1] | 윈도우창시 | 357 | 04-30 |
| 40093 | 진주 - 난 괜찮아 Allie Sherlock 이 불러요 ^^ [1] | 윈도우창시 | 399 | 04-30 |
| 40092 | 11111111 [2] |
|
1566 | 04-30 |
| 40091 | Norah Jones - Sunrise | 눈이 | 238 | 04-30 |
| 40090 | 김윤아 - 길 [1] | 눈이 | 335 | 04-30 |
| 40089 | Grace Sewell - You Don't Own Me | 눈이 | 110 | 04-30 |
| 40088 | 처음보는 신기한증상인데 경험해보신분계신가요 [3] | 돈까발리 | 987 | 04-30 |
| 40087 | 문득 베이스 기타가 배우고 싶어지네요 ^^ [5] | lakeside | 389 | 04-30 |
| 40086 | 푸바스킨 스크롤바가 큰데 조금 줄이려면 어떤걸 건드려야 ... [7] | lang2 | 378 | 04-30 |
| 40085 | 음하하하하하하하하하 이제 촌에 갈수있네요 [14] | 선우 | 1033 | 04-30 |
| 40084 | [보Antory]Nanocore 분해 [2] | Antory | 362 | 04-30 |
오히려 이걸 실행하면 Wise Care 365에서 시작 프로그램, 레지스트리 건드린다고 막음ㅋㅋ