디스코드 봇에 숨겨진 RAT 악성코드... ‘파이실론’ 사례 분석해보니

2024-11-04 17:56
  • 카카오톡
  • 네이버 블로그
  • url
디스코드 봇으로 작동하는 RAT 악성코드...공격자가 채팅으로 악의적 명령 입력
ASEC “신뢰할 수 없는 출처의 봇이나 프로그램 설치할 때 각별한 주의 필요”


[보안뉴스 박은주 기자] 최근 디스코드 봇(Discord Bot)으로 작동하는 RAT(원격제어 도구, Remote Access Tool) 악성코드가 발견됐다. 정보수집을 비롯해 감염된 PC를 개별적으로 컨트롤할 수 있어 각별한 주의가 요구된다.


▲RAT 악성코드의 Builder 프로그램[자료=ASEC]

디스코드는 실시간 소통을 지원하는 소셜 플랫폼이다. 사용자가 서버를 만들고 커뮤니티를 형성해 음성·영상·텍스트 채팅을 진행한다. 다양한 관심사를 가진 사람이 모여 소통하는 공간으로 활용되고 있다. 이때 디스코드 봇은 서버 운영을 돕는 프로그램이다. 자동으로 서버를 관리하고, 메시지 자동 응답, 게임 진행, 음악 재생 등 다양한 기능을 제공한다.

최근 RAT 악성코드를 구현할 수 있는 ‘디스코드 봇’이 유포되고 있다. ASEC(안랩 시큐리티 인텔리전스 센터)는 해당 악성코드 기능이 탑재된 ‘PySilon(파이실론)’ 사례를 분석하고 그 결과를 공유했다.

파이실론 빌더에서는 공격자가 기능을 맞춤 설정할 수 있다. 서버 아이디와 봇 토큰 정보 시스템이 설치될 레지스트리 경로와 이름 등을 임의로 지정할 수 있다. 이후 제작된 파이썬 코드에 정보를 입력하고, 파이썬 라이브러리인 파이인스톨러(PyInstaller)를 통해 실행파일(.exe)로 만들어진다.

파이실론 실행 파일이 사용자 PC에서 실행되면 공격자가 제작한 서버에 채널이 생성되는 방식이다. 해당 악성코드에 감염된 PC 1대당 디스코드 채널 1개가 새롭게 형성된다. 공격자는 채팅으로 명령을 입력해 추가 악성행위를 수행할 수 있다.


▲최초 설치된 Bot이 공격자에게 전송한 시스템 정보[자료=ASEC]

공격자는 감염된 PC에서 △사용자 개인정보(이메일, 전화번호 등...) △최초 IP 주소 △브라우저 방문 기록 및 쿠키 △각종 비밀번호 △Discord 토큰 △Nitro(디스코드 유료 구독 서비스) △MFA(다중 인증) 등 정보를 수집할 수 있다. 화면 녹화 및 녹음된 정보를 탈취하고 키로깅, 폴더 암호화 등 악성행위가 이뤄진다.


▲공격자에게 전송되는 녹화 및 녹음 파일[자료=ASEC]

더불어 도메인 이름과 IP 주소 매핑 정보를 저장하는 Host 파일을 조작해 웹페이지 블랙·화이트 리스트를 만들어 관리한다. 파일 업로드와 다운로드, 윈도우 운영체제에서 C 드라이브 파일을 관장하는 cmd 명령 실행, 프로세스 시작·종료, 윈도우 네이티브 함수를 이용해 BSOD(블루스크린)를 유발하는 기능도 존재한다.

파이실론은 백신 등 보안 프로그램 탐지를 우회하는 기능이 포함돼 있다. VM에서 기능 구현을 위해 존재하는 파일이나 프로세스 이름을 이용한 안티 VM 로직이 존재한다. 악성코드가 제 기능을 수행하기 전 가상환경을 인식하고, 가상환경에서는 동작하지 않도록 설정됐다. 악성코드가 가상환경에서 탐지되는 것을 방지하려는 전략으로 보인다.

해당 악성코드는 깃허브에 공개돼 있으며, 홈페이지를 비롯한 텔레그램 서버 등의 커뮤니티가 존재한다. 소스코드가 공개되므로 공격자가 자신의 봇에 쉽게 탑재할 수 있고, 유용한 기능을 가진 봇으로 위장하기 쉽다. 또한, 정상적인 봇 기능을 구현하기 위해 구현된 디스코드 공식 서버를 활용해 데이터가 전송된다. 이 때문에 사용자는 악성코드를 인지하기 어려워 각별한 주의가 요구된다.

ASEC는 “파이실론처럼 디스코드를 이용해 RAT 악성코드 기능을 구현한 오픈소스 프로젝트가 계속 생성되고 있다”며 “신뢰할 수 없는 출처의 봇이나 프로그램을 설치할 때 각별한 주의가 필요하다”고 말했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기