보랏 원격 액세스 악성코드 탐지

[post-views]
4월 08, 2022 · 3 분 읽기
보랏 원격 액세스 악성코드 탐지

새로운 까다로운 원격 액세스 도구 Borat RAT이라고 불리는 사이버 보안 연구원에 의해 발견되었습니다. 이름에서 알 수 있듯이, 이것은 정신을 혼란스럽게 하는 복잡한 조합입니다. Borat 트로이 목마 는 빌더와 서버 인증서가 포함된 멀웨어 모듈 모음으로, 10개 이상의 악성 기능을 포함하고 있습니다.

Borat이 시스템에 침입할 경우, 마우스와 키보드, 파일, 네트워크 리소스를 제어할 수 있으며, 비디오 및 오디오 녹음, 자격 증명 탈취, DDoS, 랜섬웨어, 키로깅 등 많은 작업을 수행할 수 있습니다. 게다가 Borat RAT은 데이터를 숨김으로써 자신의 존재를 감지하기 어렵게 만듭니다. 위에서 언급한 멀웨어를 탐지하기 위한 저희의 솔루션에 대해 알아보십시오.

Borat 원격 액세스 멀웨어 탐지

당사의 Threat Bounty 개발자가 만든 최신 규칙을 배포하여 Borat (RAT) 생성기를 탐지할 수 있습니다. Furkan Celik.

랜섬웨어 공격을 활성화하는 Borat Remote Access Trojan 탐지(via file_event)

이 규칙은 다음 SIEM, EDR 및 XDR 형식으로 번역되었습니다: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

이 규칙은 Command and Control 전술 및 Ingress Tool Transfer (T1105) 기술을 다루는 최신 MITRE ATT&CK® 프레임워크 v.10과 일치합니다.

잘 아시는 바와 같이, 적들은 특정 악성 소프트웨어를 개발한 후 또는 다크 웹 시장에서 성공적으로 판매하더라도 그들의 제작물을 끊임없이 갱신하고 다듬습니다. 가장 최신의 Borat RAT 업데이트를 놓치지 않도록, 이 사이버 공격에 대한 현재까지의 모든 탐지 목록을 확인하십시오. 고급 검색 섹션에서 특정 요구 사항에 맞추어 검색 기준을 세부적으로 조정할 수 있습니다.

또한, 여러분이 위협 헌터나 탐지 엔지니어라면, 크라우드소싱 이니셔티브에 가입하여 인정을 받고 금전적 이익을 얻을 기회가 있습니다. 자신만의 맞춤형 탐지를 만들어 플랫폼에 제출하고 전 세계 사이버 회복력을 높이는 데 기여하십시오.

탐지 보기 Threat Bounty 가입

Borat RAT 분석

앞서 언급한 바와 같이, Borat의 특징은 연구자들이 몇 가지 주요 카테고리로 나누었습니다:

  • 원격 hVNC 숨겨진 데스크탑 및 브라우저
  • 원격 재미 모니터 켜기/끄기, 작업표시줄, 시계, 트레이, 마우스 등 숨기기/보이기, 작업 관리자 활성화/비활성화, UAC 비활성화 등
  • 원격 시스템 원격 셸, 역방향 프록시, 레지스트리 편집기, 파일 관리자, TCP 연결 등
  • 스텁 기능 클라이언트 이름 변경, 방어 비활성화, 레지스트리 이름 변경, 방어 방지, 키로거 활성화 등
  • 비밀번호 복구 Chrome과 Edge
  • RAT + HVNC HVNC 기능과 함께 원격 다운로드 및 실행

이러한 광범위한 기능을 쉽게 탐색하기 위해 공격자들은 악의적인 사용자가 현재 목표를 선택하고 필요 시 DDoS 및 랜섬웨어를 위한 바이너리를 컴파일할 수 있는 특수 대시보드를 만들었습니다.

Borat RAT은 잠재적으로 매우 위험한 멀웨어로, RAT, 랜섬웨어, DDoS 도구, 스파이웨어가 결합된 독특한 올인원 패키지입니다. 단 하나의 트로이 목마를 설치함으로써, 적들은 다양한 공격을 실행할 수 있습니다. 그들은 장치 제어를 탈취할지, 정보를 탈취할지, 시스템 설정을 변경할지, 파일을 삭제할지를 선택할 수 있습니다. SOC Prime의 코드로서의 탐지 플랫폼 은 세계적인 사이버 보안 전문가들을 모아 새로운 위협에 몇 걸음 앞설 수 있도록 시기적절한 탐지 항목을 생성하고 공유하는 협력적 사이버 방어 접근 방식을 제공합니다.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Uncoder AI의 맞춤형 AI prompting, 주문형 탐지 생성 가능
SOC Prime 플랫폼, 블로그 — 2 분 읽기
Uncoder AI의 맞춤형 AI prompting, 주문형 탐지 생성 가능
Steven Edwards
XE 그룹 활동 탐지: 신용카드 스키밍에서 CVE-2024-57968 및 CVE-2025-25181 VeraCore 제로데이 취약점 악용까지
블로그, 최신 위협 — 3 분 읽기
XE 그룹 활동 탐지: 신용카드 스키밍에서 CVE-2024-57968 및 CVE-2025-25181 VeraCore 제로데이 취약점 악용까지
Veronika Telychko
CVE-2025-0411 탐지: 러시아 사이버 범죄 조직, 우크라이나 조직을 표적으로 삼아 7-Zip의 제로데이 취약점 악용
블로그, 최신 위협 — 4 분 읽기
CVE-2025-0411 탐지: 러시아 사이버 범죄 조직, 우크라이나 조직을 표적으로 삼아 7-Zip의 제로데이 취약점 악용
Veronika Telychko