RokRAT 악성코드

|| 정의 ||

RokRAT

주로 한글(HWP) 문서, LNK(바로가기) 파일, 그리고 최근에는 PDF로 위장된 문서 등 다양한 형태로 유포되는 백도어형 악성코드

한국 내 대북, 국방, 시민단체 등 특정 인물을 대상으로 다양한 사회공학적 기법과 함께 사용됨

 

|| 주요 특징 ||

배포 방식

과거에는 악성 HWP(한글) 문서에 포함된 EPS 오브젝트, 혹은 매크로가 적용된 DOCX 등의 형태가 많았으나, 최근에는 LNK 파일이나 PDF 문서로 위장해 유포되는 등 진화하고 있다

 

감염 과정

LNK 파일 실행 시 PowerShell 명령어로 여러 악성 파일을 임시 폴더 등에서 생성, 단계별로 악성코드가 로딩됨

실시간으로 decoy(미끼) 문서를 띄워 사용자가 감염 사실을 인지하지 못하도록 위장하기도 한다

 

악성코드 기능

공격자가 클라우드 서비스(pCloud, Yandex, DropBox, Twitter 등)를 C2(Command & Control)로 사용해 명령을 전달하고, 탈취한 데이터를 업로드

PC 정보(컴퓨터명, 사용자명, 네트워크 정보), 문서 파일, 스크린샷 등을 무단 수집

커맨드 명령 실행, 파일 업로드 및 다운로드, 화면 캡처, 키로깅, 추가 악성코드 다운로드 등 원격에서 거의 모든 기능을 수행

수집한 정보나 파일은 암호화되어 클라우드로 전송되고, 분석 및 탐지를 어렵게 하는 다양한 은폐 기법을 활용

 

|| 대응 방안 ||

출처가 불분명한 이메일, 메신저 첨부파일, 문서는 열지 말 것

Windows 및 오피스 SW의 최신 보안 업데이트 적용

보안 솔루션을 활용한 LNK 파일, HWP 문서, PowerShell 등 실행 감시

조직 차원의 보안 교육 및 절차 마련 등