* 출처는 안랩입니다.
디스코드(Discord)는 음성, 영상, 텍스트 채팅을 지원하는 소셜 플랫폼으로, 최근에는 게이머뿐만 아니라 다양한 관심사를 가진 그룹들이 모여 소통하는 공간으로 그 기능이 확장됐다. 디스코드에서는 ‘봇(Bot)’을 만들거나 추가해 역할 등을 부여할 수 있는데, 이 디스코드 봇(Discord Bot)은 사용자가 생성한 서버에서 자동으로 특정 작업을 수행하는 프로그램으로, 서버 관리, 메시지 자동 응답, 게임 진행, 음악 재생, 알림 전송 등 다양한 기능을 제공한다. 이를 통해 사용자는 손쉽게 서버를 운영할 수 있다.
이처럼 디스코드 봇은 사용자에게 순기능을 제공하지만, 얼마 전 악성 행위에 이용된 사례도 확인됐다. 이번 글에서는 디스코드 봇을 활용해 악성 RAT 기능을 수행하는 ‘파이실론(PySilon)’ 악성코드에 대해 살펴본다.
디스코드 봇은 대부분 파이썬(Python)이나 자바스크립트(JavaScript) 등의 언어로 구현되며, 디스코드 API를 통해 서버와 상호작용한다. 이를 악용한 파이실론의 전체 소스코드는 깃허브(Github)에 공개돼 있으며, 홈페이지를 비롯한 텔레그램(Telegram) 서버 등의 커뮤니티도 존재한다.
[그림 1] RAT 악성코드의 빌더(Builder) 프로그램
[그림 1]의 빌더에서는 디스코드 봇을 개발하는 데 필요한 서버 ID(Server ID)와 봇 토큰(Bot Token) 정보, 시스템에 설치될 레지스트리 경로와 이름 등을 지정해 커스텀할 수 있도록 지원한다. 이후 미리 구현돼 있는 파이썬 코드에 커스텀 정보가 입력되고, 파이인스톨러(PyInstaller)를 통해 실행 파일(.exe)로 만들어진다.
* 전체내용은 아래에서 확인하세요.
https://www.ahnlab.com/ko/contents/content-center/35714