디스코드 봇으로 작동하는 RAT 악성코드...공격자가 채팅으로 악의적 명령 입력
ASEC “신뢰할 수 없는 출처의 봇이나 프로그램 설치할 때 각별한 주의 필요”
[보안뉴스 박은주 기자] 최근 디스코드 봇(Discord Bot)으로 작동하는 RAT(원격제어 도구, Remote Access Tool) 악성코드가 발견됐다. 정보수집을 비롯해 감염된 PC를 개별적으로 컨트롤할 수 있어 각별한 주의가 요구된다.
▲RAT 악성코드의 Builder 프로그램[자료=ASEC]
디스코드는 실시간 소통을 지원하는 소셜 플랫폼이다. 사용자가 서버를 만들고 커뮤니티를 형성해 음성·영상·텍스트 채팅을 진행한다. 다양한 관심사를 가진 사람이 모여 소통하는 공간으로 활용되고 있다. 이때 디스코드 봇은 서버 운영을 돕는 프로그램이다. 자동으로 서버를 관리하고, 메시지 자동 응답, 게임 진행, 음악 재생 등 다양한 기능을 제공한다.
최근 RAT 악성코드를 구현할 수 있는 ‘디스코드 봇’이 유포되고 있다. ASEC(안랩 시큐리티 인텔리전스 센터)는 해당 악성코드 기능이 탑재된 ‘PySilon(파이실론)’ 사례를 분석하고 그 결과를 공유했다.
파이실론 빌더에서는 공격자가 기능을 맞춤 설정할 수 있다. 서버 아이디와 봇 토큰 정보 시스템이 설치될 레지스트리 경로와 이름 등을 임의로 지정할 수 있다. 이후 제작된 파이썬 코드에 정보를 입력하고, 파이썬 라이브러리인 파이인스톨러(PyInstaller)를 통해 실행파일(.exe)로 만들어진다.
파이실론 실행 파일이 사용자 PC에서 실행되면 공격자가 제작한 서버에 채널이 생성되는 방식이다. 해당 악성코드에 감염된 PC 1대당 디스코드 채널 1개가 새롭게 형성된다. 공격자는 채팅으로 명령을 입력해 추가 악성행위를 수행할 수 있다.
▲최초 설치된 Bot이 공격자에게 전송한 시스템 정보[자료=ASEC]
공격자는 감염된 PC에서 △사용자 개인정보(이메일, 전화번호 등...) △최초 IP 주소 △브라우저 방문 기록 및 쿠키 △각종 비밀번호 △Discord 토큰 △Nitro(디스코드 유료 구독 서비스) △MFA(다중 인증) 등 정보를 수집할 수 있다. 화면 녹화 및 녹음된 정보를 탈취하고 키로깅, 폴더 암호화 등 악성행위가 이뤄진다.
▲공격자에게 전송되는 녹화 및 녹음 파일[자료=ASEC]
더불어 도메인 이름과 IP 주소 매핑 정보를 저장하는 Host 파일을 조작해 웹페이지 블랙·화이트 리스트를 만들어 관리한다. 파일 업로드와 다운로드, 윈도우 운영체제에서 C 드라이브 파일을 관장하는 cmd 명령 실행, 프로세스 시작·종료, 윈도우 네이티브 함수를 이용해 BSOD(블루스크린)를 유발하는 기능도 존재한다.
파이실론은 백신 등 보안 프로그램 탐지를 우회하는 기능이 포함돼 있다. VM에서 기능 구현을 위해 존재하는 파일이나 프로세스 이름을 이용한 안티 VM 로직이 존재한다. 악성코드가 제 기능을 수행하기 전 가상환경을 인식하고, 가상환경에서는 동작하지 않도록 설정됐다. 악성코드가 가상환경에서 탐지되는 것을 방지하려는 전략으로 보인다.
해당 악성코드는 깃허브에 공개돼 있으며, 홈페이지를 비롯한 텔레그램 서버 등의 커뮤니티가 존재한다. 소스코드가 공개되므로 공격자가 자신의 봇에 쉽게 탑재할 수 있고, 유용한 기능을 가진 봇으로 위장하기 쉽다. 또한, 정상적인 봇 기능을 구현하기 위해 구현된 디스코드 공식 서버를 활용해 데이터가 전송된다. 이 때문에 사용자는 악성코드를 인지하기 어려워 각별한 주의가 요구된다.
ASEC는 “파이실론처럼 디스코드를 이용해 RAT 악성코드 기능을 구현한 오픈소스 프로젝트가 계속 생성되고 있다”며 “신뢰할 수 없는 출처의 봇이나 프로그램을 설치할 때 각별한 주의가 필요하다”고 말했다.
[박은주 기자(boan5@boannews.com)]
ASEC “신뢰할 수 없는 출처의 봇이나 프로그램 설치할 때 각별한 주의 필요”
[보안뉴스 박은주 기자] 최근 디스코드 봇(Discord Bot)으로 작동하는 RAT(원격제어 도구, Remote Access Tool) 악성코드가 발견됐다. 정보수집을 비롯해 감염된 PC를 개별적으로 컨트롤할 수 있어 각별한 주의가 요구된다.
▲RAT 악성코드의 Builder 프로그램[자료=ASEC]
디스코드는 실시간 소통을 지원하는 소셜 플랫폼이다. 사용자가 서버를 만들고 커뮤니티를 형성해 음성·영상·텍스트 채팅을 진행한다. 다양한 관심사를 가진 사람이 모여 소통하는 공간으로 활용되고 있다. 이때 디스코드 봇은 서버 운영을 돕는 프로그램이다. 자동으로 서버를 관리하고, 메시지 자동 응답, 게임 진행, 음악 재생 등 다양한 기능을 제공한다.
최근 RAT 악성코드를 구현할 수 있는 ‘디스코드 봇’이 유포되고 있다. ASEC(안랩 시큐리티 인텔리전스 센터)는 해당 악성코드 기능이 탑재된 ‘PySilon(파이실론)’ 사례를 분석하고 그 결과를 공유했다.
파이실론 빌더에서는 공격자가 기능을 맞춤 설정할 수 있다. 서버 아이디와 봇 토큰 정보 시스템이 설치될 레지스트리 경로와 이름 등을 임의로 지정할 수 있다. 이후 제작된 파이썬 코드에 정보를 입력하고, 파이썬 라이브러리인 파이인스톨러(PyInstaller)를 통해 실행파일(.exe)로 만들어진다.
파이실론 실행 파일이 사용자 PC에서 실행되면 공격자가 제작한 서버에 채널이 생성되는 방식이다. 해당 악성코드에 감염된 PC 1대당 디스코드 채널 1개가 새롭게 형성된다. 공격자는 채팅으로 명령을 입력해 추가 악성행위를 수행할 수 있다.
▲최초 설치된 Bot이 공격자에게 전송한 시스템 정보[자료=ASEC]
공격자는 감염된 PC에서 △사용자 개인정보(이메일, 전화번호 등...) △최초 IP 주소 △브라우저 방문 기록 및 쿠키 △각종 비밀번호 △Discord 토큰 △Nitro(디스코드 유료 구독 서비스) △MFA(다중 인증) 등 정보를 수집할 수 있다. 화면 녹화 및 녹음된 정보를 탈취하고 키로깅, 폴더 암호화 등 악성행위가 이뤄진다.
▲공격자에게 전송되는 녹화 및 녹음 파일[자료=ASEC]
더불어 도메인 이름과 IP 주소 매핑 정보를 저장하는 Host 파일을 조작해 웹페이지 블랙·화이트 리스트를 만들어 관리한다. 파일 업로드와 다운로드, 윈도우 운영체제에서 C 드라이브 파일을 관장하는 cmd 명령 실행, 프로세스 시작·종료, 윈도우 네이티브 함수를 이용해 BSOD(블루스크린)를 유발하는 기능도 존재한다.
파이실론은 백신 등 보안 프로그램 탐지를 우회하는 기능이 포함돼 있다. VM에서 기능 구현을 위해 존재하는 파일이나 프로세스 이름을 이용한 안티 VM 로직이 존재한다. 악성코드가 제 기능을 수행하기 전 가상환경을 인식하고, 가상환경에서는 동작하지 않도록 설정됐다. 악성코드가 가상환경에서 탐지되는 것을 방지하려는 전략으로 보인다.
해당 악성코드는 깃허브에 공개돼 있으며, 홈페이지를 비롯한 텔레그램 서버 등의 커뮤니티가 존재한다. 소스코드가 공개되므로 공격자가 자신의 봇에 쉽게 탑재할 수 있고, 유용한 기능을 가진 봇으로 위장하기 쉽다. 또한, 정상적인 봇 기능을 구현하기 위해 구현된 디스코드 공식 서버를 활용해 데이터가 전송된다. 이 때문에 사용자는 악성코드를 인지하기 어려워 각별한 주의가 요구된다.
ASEC는 “파이실론처럼 디스코드를 이용해 RAT 악성코드 기능을 구현한 오픈소스 프로젝트가 계속 생성되고 있다”며 “신뢰할 수 없는 출처의 봇이나 프로그램을 설치할 때 각별한 주의가 필요하다”고 말했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
