njRAT 안티바이러스 우회하기
2021.04.28 09:49
* 주의 : 본 글을 보안교육을 위해 제작되었습니다 이 글에서는 크립터 소스 코드도 알려주지 않음을 알립니다
혹시 이 글을 통해 크립터 사용법을 아실려는 분들(회사)는 나가주시기 바랍니다
일단 지난 번에 올린 '당신은 바이러스로부터 안전할까?'의 확장판으로 만들려다 어떠한 이유로(귀찮아서) 이제 쓰게 되었다
일단 프로젝트를 만든다
그다음 njRAT을 켜 서버파일을 만들고 이를 크립터에 넣어 암호화한 명령어를 모듈로 만든다(비공개)
그리고 기존 모듈을 삭제하고 config에 암호화 모듈을 넣는다
그리고 프로젝트 설정을 바꿔준다(비공개)
빌드 고!
마지막으로 Confuser로 패킹한다(Preset : Maximum)
지난번보다 상황이 더 나쁘다
우회된 메이저 안티바이러스 : AhnLab-V3, ALYac, Avast, Ikarus(AVG), Microsoft, Ad-Aware, BitDefender(non Theta), Sophos, Comodo, DrWeb
와중에 지난번에 깠던 Kaspersky는 정상인식한다
진짜 어이가 없어서 njRAT을 켜 암호화한 파일을 실행했더니 감염이 됐다!
AhnLab 블로그가면 허구한 날 말하는 것이 njRAT인데...
게다가 최강이라 믿던 Microsoft도...
진짜 조심해야 겠다
댓글 [8]
-
Antory 2021.04.28 09:52
-
내꼬 2021.04.28 10:00 좋은 도구를 어떻게 이용 하는가는 도덕적으로 가치관에 따라 다르니 부디 좋게만 이용하길 바랄뿐입니다.
-
Antory 2021.04.28 10:03
맞습니다 하지만 이를 통해 발전하지 않는 안티바이러스도 문제죠...
-
내꼬 2021.04.28 10:18 창과 빙패싸움입니다.
상업용으로 만든 제품인 비싼 공인사인을 하니 큰 문제가 없으나
개인이 만든 프로그램은 공인 코드사인 없으니 의심 1순위와 평가라는 조건에 합당해야 되는데
어느세월에 안전하다는 평가를 받을까요..
안타까울 따름입니다.
-
Antory 2021.04.28 10:50
이런데도 나라는 무슨 보안이니 하면서 개인이 만든 거는 개차반 취급하고
공인사인으로 갈라파고스가 되어 썩을대로 썩은 상업용을 사용하죠...
-
DarknessAngel 2021.04.28 14:14
그게 좀 웃기는건데, 돈만 주면 살 수 있는 인증서가 무슨 의미가 있다는건지 (EV정도 되면 모르지만)
거기에 요즘 대부분이 인터넷이나 네트워크로 받은걸 쓸껀데, 여기서 들어오는건 위험하고 로컬에서 생성된건 덜 위험하다고 취급하죠 (그럼 로컬에서 스크립트등으로 생성된 악성코드는 안전하고, NTFS Flag 제거 상위 권한도 요구 안 하니 넘 쉽고, 사용자만 귀찮음)
-
eohjun 2021.04.28 20:07
이런 글 보니 좀 불안하네요. V3 쓰고 있는데 ㅋㅋ
-
Antory 2021.04.29 09:27
V3 유료 기능은 사실 엔진보다 방화벽, 클라우드 차단, 행위 기반 차단으로 쓰기 때문에 큰 문제는 없습니다
다만 V3 Lite는 좀 위험하죠
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 자유 게시판 이용간 유의사항 (정치, 종교, 시사 게시물 자제) [1] | gooddew | - | - |
| 45976 | [냉무] 채널수리중.........(자삭예정) [2] |
|
578 | 07-03 |
| 45975 | 캠타시a 글 링크 아시는분~ [3] | 컴아저씨훈 | 304 | 07-03 |
| 45974 | 요며칠 빙 이랑 놀면서 소감 [4] | 뷰리풀투데 | 522 | 07-03 |
| 45973 | 쓰리디마크 | 컴아저씨훈 | 460 | 07-03 |
| 45972 | 그 시절 차량 옵션.jpg [16] | 호호아야 | 775 | 07-03 |
| 45971 | 바쁘다 바뻐........ [11] |
|
448 | 07-03 |
| 45970 | 홍익인간 캠페인 [5] |
|
600 | 07-03 |
| 45969 | "아빠랑 오빠 야유회 못 가게 해 주세요" 전무님... [3] | asklee | 684 | 07-03 |
| 45968 | 좋은 방법이 없을까요? [4] | 테츠로 | 576 | 07-02 |
| 45967 | 오늘 한일전 누가 승리할 꺄요 [5] | 암행어사 | 653 | 07-02 |
| 45966 | SpaceX 유럽 우주국의 Euclid 위성 발사 성공 | asklee | 318 | 07-02 |
| 45965 | [테스트 완료] 노트북 사용자분들께 부탁드려봅니다. [8] | 지니제스트 | 766 | 07-02 |
| 45964 | 20년 전 윈비비에스 정모 때 받은 윈도우 T [4] | 좋은생각만 | 1154 | 07-01 |
| 45963 | 모과나무를 베고나니 버섯이 나오는데 혹시 먹을수 있나요? [9] | 수영하는산 | 1326 | 07-01 |
| 45962 | 새로운 도전 [9] |
|
583 | 07-01 |
| 45961 | 사내 유일 20대 직원의 카톡 프사 | FINAL | 1136 | 07-01 |
| 45960 | 추천란에 추천하신분 닉네임이 다 보입니다. [9] | 왕초보 | 952 | 07-01 |
| 45959 | Windows 11 Pro MPB 22H2 Build 22621.1555 [2] | 개골구리 | 784 | 07-01 |
| 45958 | 요즘 그래픽카드가? [8] | 윈도우៖ | 843 | 06-30 |
| 45957 | 영상 모자이크처리 쉽게 하는 프로그램 추천점 [3] | 컴아저씨훈 | 458 | 06-30 |
오히려 이걸 실행하면 Wise Care 365에서 시작 프로그램, 레지스트리 건드린다고 막음ㅋㅋ