* 출처는 안랩입니다.
베놈 RAT(Venom RAT) 악성코드가 유명 메신저를 통해 유포되는 것을 확인했다.
이전 유포 사례와 비교하면, 공격자는 HTA에서 RAT 악성코드를 바로 다운로드하지 않고, 파워셸(PowerShell) 스크립트를 통해 배치 파일(.BAT)을 다운로드 및 실행하는 방식을 사용했다. 무엇보다도, 유포 과정에서 사용된 메신저가
다수의 사용자가 이용하고 있는 유명 메신저라는 점에서 주의가 요구된다.
베놈 RAT 악성코드의 유포 방식을 살펴보자.
[그림 1] 자사 ASD(AhnLab Smart Defense) 인프라 탐지로그 - 1
[그림 2] 자사 ASD(AhnLab Smart Defense) 인프라 탐지로그 - 2
악성코드의 전반적인 동작 과정은 [그림 3]과 같다.
[그림 3] 악성코드 유포 도식도
[그림 4]는 HTA로 실행되는 파워셸 스크립트의 내용 중 일부이다. 실행되는 방식이 확장자(.dll .ps1 .msi)에 따라 다르게 분기되는데, 이는 공격자가 다양한 방식을 사용해 악성코드를 유포하고 있음을 보여준다.
[그림 4] HTA에 의해 실행되는 파워셸 스크립트 내용
* 전체내용은 아래에서 확인하세요.
https://www.ahnlab.com/ko/contents/content-center/35625
![[유머] 이래서 인간들이 문제야옹~](http://img.danawa.com/images/attachFiles/6/856/5855319_1.jpg?fitting=Large|320:240&crop=320:240;*,*)
![[포인트 마켓] 마이크로닉스 POCO ITX 강화유리](http://img.danawa.com/prod_img/500000/140/399/img/12399140_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
