정의
RokRAT
-
주로 한글(HWP) 문서, LNK(바로가기) 파일, 그리고 최근에는 PDF로 위장된 문서 등 다양한 형태로 유포되는 백도어형 악성코드
-
한국 내 대북, 국방, 시민단체 등 특정 인물을 대상으로 다양한 사회공학적 기법과 함께 사용됨
주요 특징
배포 방식
- 과거에는 악성 HWP(한글) 문서에 포함된 EPS 오브젝트, 혹은 매크로가 적용된 DOCX 등의 형태가 많았으나, 최근에는 LNK 파일이나 PDF 문서로 위장해 유포되는 등 진화하고 있다
감염 과정
- LNK 파일 실행 시 PowerShell 명령어로 여러 악성 파일을 임시 폴더 등에서 생성, 단계별로 악성코드가 로딩됨
- 실시간으로 decoy(미끼) 문서를 띄워 사용자가 감염 사실을 인지하지 못하도록 위장하기도 한다
악성코드 기능
-
공격자가 클라우드 서비스(pCloud, Yandex, DropBox, Twitter 등)를 C2(Command & Control)로 사용해 명령을 전달하고, 탈취한 데이터를 업로드
-
PC 정보(컴퓨터명, 사용자명, 네트워크 정보), 문서 파일, 스크린샷 등을 무단 수집
-
커맨드 명령 실행, 파일 업로드 및 다운로드, 화면 캡처, 키로깅, 추가 악성코드 다운로드 등 원격에서 거의 모든 기능을 수행
-
수집한 정보나 파일은 암호화되어 클라우드로 전송되고, 분석 및 탐지를 어렵게 하는 다양한 은폐 기법을 활용
대응 방안
-
출처가 불분명한 이메일, 메신저 첨부파일, 문서는 열지 말 것
-
Windows 및 오피스 SW의 최신 보안 업데이트 적용
-
보안 솔루션을 활용한 LNK 파일, HWP 문서, PowerShell 등 실행 감시
-
조직 차원의 보안 교육 및 절차 마련 등
little by little