[보안 뉴스 스크립트] 06. njRAT 악성코드

웹하드와 토렌트에서 함부로 파일 받았다간... ‘njRAT’ 악성코드 감염된다

(21-06-08)

웹하드와 토렌트에서 함부로 파일 받았다간... ‘njRAT’ 악성코드 감염된다

 

안랩 ASEC 분석팀, njRAT 악성코드 분석자료 공개

 

[보안뉴스 원병철 기자] 최근 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있는 RAT 악성코드의 일종인 ‘njRAT 악성코드’가 웹하드와 토렌트를 통해 유포되고 있어 주의가 요구된다. njRAT 악성코드는 다운로드 및 명령 실행, 키로깅, 그리고 사용자 계정 정보 탈취 등을 수행할 수 있기 때문에 과거부터 공격자들에 의해 꾸준히 사용되고 있다.

안랩 ASEC 분석팀은 njRAT 악성코드는 인터넷에서 쉽게 빌더를 구할 수 있기 때문에 국내 사용자들을 대상으로 다양한 형태로 유포 중이며, 대표적으로는 토렌트와 웹하드를 이용해 정상 프로그램으로 위장해 유포하는 방식이 있다고 설명했다. 특히, njRAT 같은 이미 알려진 악성코드들은 보안 프로그램에 의해 쉽게 차단되기 때문에 공격자들은 다양한 방식을 이용해 탐지를 우회하고 있다. 여기에서는 최근 유포되고 있는 njRAT의 유포 방식과 감염 흐름 그리고 공격자가 추가로 설치한 이력이 확인되는 악성코드들에 대해 다루도록 한다.

 

RAT(Remote Access Trojan) 

원격 액세스 트로이 목마

대상 컴퓨터에 대한 관리 제어를 위한 백도어를 포함하는 멀웨어 프로그램이다.

일반적으로 게임과 같이 사용자가 요청한 프로그램과 함께 보이지 않게 다운로드 되거나 이메일 첨부 파일로 전송된다.

호스트 시스템이 손상되면 침입자는 이를 사용하여 다른 취약한 컴퓨터에 RAT에 배포하고 봇넷 구축이 가능하다.

 

RAT는 관리제어가 가능하게 하므로 다음을 포함한 거의 모든 작업 수행이 가능하다

• 키로거 또는 기타 스파이웨어를 통한 사용자 행동 모니터링
• 신용카드 및 사회 보장 번호와 같은 기밀 정보 접근
• 시스템의 웹캠을 활성화하고 비디오 녹화
• 스크린 샷 찍기
• 바이러스 및 기타 멀웨어 배포
• 드라이브 포맷
• 파일 및 파일 시스템 삭제, 다운로드 또는 변경

 

njRAT

키로깅을 포함한 정보 유출 외에도 공격자의 명령을 수행할 수 있는 RAT 악성 코드이다.

대부분 웹 하드나 토렌트를 통해 정상 파일로 위장하여 유포된다. 유포 시 위장하는 대상으로는 게임 핵이나 기프트 카드 생성기와 같은 불법 프로그램이 다수 존재하며, 이 외에도 불법 공유 게임들에 포함되어 유포되는 경우가 많다.

 

 

안랩 ASEC 분석팀은 “토렌트 및 국내 웹하드 등 자료 공유 사이트를 통해 njRAT 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다”면서, “자료 공유 사이트에서 다운로드한 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다”라고 조언했다.