njRAT 분석

( 1 ) njRAT

.NET 으로 만들어진 RAT 툴로 키로깅, 웹캠 액세스 등 다양한 기능을 제공하는 것으로 확인됨.

최근 이슈되고 있으며 시리아 등 중동 해커 그룹에서 인기가 많은 것으로 확인됨

( 2 ) njRAT Builder

                             <njRAT 0.6.4 Builder>

  <njRAT 0.7d Builder>

봇넷 생성기임.

Host : C&C 서버 IP (봇넷은 리버스 쉘을 이용하여 C&C 서버 접근)

Port : C&C 서버 Port (0.6.4 버전 디폴트 Port - 1177, 0.7d 버전 디폴트 Port - 5552)

VicTim Name : 봇넷 이름

ExeName : Copy 옵션 체크 시 해당 이름으로 파일 생성됨.

Directory : Copy 옵션 체크 시 해당 디렉토리에 파일 생성됨.

그 밖에 각종 옵션들이 있음.

참고로 옵션 중 "Protect Process[BSOD]" 를 체크 시 봇넷을 생성하면 해당 봇넷 프로세스가 동작 중에 중지될 경우 블루스크린이 작동됨

( 3 ) njRAT 봇넷 동적분석

njRAT 0.6.4 봇넷을 Victim 에 실행 시 동적분석을 진행하였으며 Windwos XP SP3 에서 테스트함.

<파일 위치>

실행 시 C:\Documents and Settings\Administrator\Local Settings\Temp 위치에 koromoon064.exe 파일과 koromoon064.exe.tmp 파일이 생성됨.

<프로세스 동작>

 <C&C 서버 TCP/1177 포트로 접근시도>

koromoon064.exe 프로세스가 생성되며 C&C 서버의 TCP/1177 포트로 접근 시도함.

<njRAT 0.6.4 봇넷 패킷덤프>

<njRAT 0.7d 봇넷 패킷덤프>

참고로 njRAT 0.7d 버전과 기존 버전들과 패킷 덤프에서 약간 차이가 있음.

njRAT 0.6.4 봇넷 패킷덤프에서는 lv|'|'| 문자열과 [endof] 문자열 탐지가 특징이 있으며 njRAT 0.7d 봇넷 패킷덤프에서는 ll|'|'| 문자열 탐지가 특징이 있음.

공동으로 탐지된 고유 문자열 |'|'| 는 각 정보 사이에 탐지되는 것으로 확인됨

( 4 ) njRAT 봇넷 정적분석

<패킹 여부>

.NET 으로 만들어진 것으로 확인됨.

<2개 버전 봇넷 디컴파일하여 비교한 화면1>

<2개 버전 봇넷 디컴파일하여 비교한 화면2>

njRAT 0.6.4 정보전달 패킷 구조	njRAT 0.7d 정보전달 패킷 구조
lv 고유헤더값 Base64 인코딩된 봇넷명+하드디스크 볼륨값 컴퓨터 이름 사용자명 봇넷 마지막 사용 날짜 운영 체제 전체 이름 웹캠 유무 체크(YES or NO) 봇넷 버전(0.6.4) Base64 인코딩된 현재 실행중인 윈도우창 이름 [endof]	ll 고유헤더값 Base64 인코딩된 봇넷명+하드디스크 볼륨값 컴퓨터 이름 사용자명 봇넷 마지막 사용 날짜 운영 체제 전체 이름 웹캠 유무 체크(YES or NO) 봇넷 버전(0.7d) Base64 인코딩된 현재 실행중인 윈도우창 이름

<디컴파일하여 정보전달 패킷 정보를 추출한 데이터>

각각의 버전 Botnet 을 디컴파일하여 정보전달 코드에 대해서 비교 분석하였으며 추출한 데이터는 위 표와 같음