[Blue team CTF] Yellow RAT Lab

 

🔗 문제 링크

https://cyberdefenders.org/blueteam-ctf-challenges/yellow-rat/

Yellow RAT | Blue team challenge.

 

 

🕵️  시나리오

글로벌테크 인더스트리(GlobalTech Industries)에서 정기 IT 보안 점검을 진행하던 중, 여러 워크스테이션(PC)에서 비정상적인 네트워크 트래픽이 감지되었습니다.
초기 조사 결과, 일부 직원들의 검색 쿼리가 알 수 없는 웹사이트로 리디렉션되고 있다는 사실이 밝혀졌습니다.
이 발견으로 인해 보안에 대한 우려가 제기되었고, 보다 철저한 조사가 진행되었습니다.
여러분의 임무는 이 사건을 조사하여 가능한 한 많은 정보를 수집하는 것입니다.

 

 

📄 문제 파일

`hash.txt`라는 이름의 텍스트 파일이 제공되며, 파일에는 다음과 같은 해시값이 기록되어 있다.

 

📝 문제 풀이

파일에 나와 있는 해시값을 VirusTotal에 검색했다.

72개의 벤더사 중 59개가 악성이라고 진단하고 있는 것을 볼 수 있다.

 

 

문제 1.

---

적에 대해 이해하는 것은 공격을 방어하는 데 도움이 됩니다.
비정상적인 네트워크 트래픽을 유발하는 악성코드(멀웨어) 계열의 이름은 무엇인가요?

 

 

VirusTotal 검색만으로는 악성코드의 명확한 이름을 찾지 못해 구글에 해시값을 검색했다.

그 결과, Red Canary의 분석 보고서에서 `Yellow Cockatoo`라는 이름의 악성코드임을 확인할 수 있었다.

 

 

따라서, 정답은 `Yellow Cockatoo RAT`이다.

 

문제 2.

---

사고 대응의 일환으로, 해당 악성코드가 흔히 사용하는 파일명을 아는 것은 다른 워크스테이션에서도 감염 여부를 스캔하는 데 도움이 될 수 있습니다.
우리 워크스테이션에서 발견된 악성코드와 관련된 일반적인 파일명은 무엇입니까?

 

Red Canary의 분석 보고서에서 해당 악성코드의 파일 이름도 함께 제공하고 있다. 또한, VT에서도 확인할 수 있다.

 

따라서 정답은 `111bc461-1ca8-43c6-97ed-911e0e69fdf8.dll` 이다.

 

문제 3.

---

악성코드의 컴파일 타임스탬프를 확인하면 해당 악성코드의 개발 및 배포 시점에 대한 정보를 얻을 수 있습니다.
우리 네트워크에 감염된 악성코드의 컴파일 타임스탬프는 무엇인가요?

 

컴파일 스탬프는 VT의 [Details]에서 확인할 수 있다.

 

따라서 정답은 `2020-09-24 18:26` 이다.

 

문제 4.

---

더 넓은 사이버 보안 커뮤니티에서 해당 악성코드를 처음으로 식별한 시점을 파악하면, 이 악성코드가 실제로 탐지되기 전에 얼마나 오랫동안 환경 내에 있었을지 추정하는 데 도움이 될 수 있습니다.
이 악성코드는 언제 VirusTotal에 처음 제출되었나요?

 

위 내용 역시 VT의 [Details]에서 확인할 수 있다.

 

따라서 정답은 `2020-10-15 02:47` 이다.

 

문제 5.

---

산업 시스템에서 위협을 완전히 제거하려면, 악성코드가 드롭한 모든 구성 요소를 식별해야 합니다.
악성코드가 AppData 폴더에 드롭한 .dat 파일의 이름은 무엇인가요?

 

이 문제에 대한 정답 역시 Red Canary의 보고서에서 찾을 수 있었다.

 

해당 악성코드는 `%USERPROFILE%\AppData\Roaming\solarmarker.dat` 라는 경로에 무작위로 생성된 문자열을 저장한다고 한다.

따라서 정답은 `solarmarker.dat` 이다.

 

문제 6.

---

악성코드가 통신하는 C2 서버를 식별하는 것은, 해당 통신을 차단하고 추가적인 데이터 유출을 방지하기 위해 매우 중요합니다. 악성코드가 통신하고 있는 C2 서버는 무엇인가요?

 

C2 서버의 주소를 찾아내면 되는 문제다. 이 역시 Red Canary의 분석 보고서에서 찾을 수 있었다.

 

`https://gogohid.com` 주소를 통해 C2 통신을 한다고 나와있다.

따라 정답도 `https://gogohid.com` 이다.

 

 

🔍 문제를 통해 알 수 있었던 지식

• 악성코드의 컴파일 타임스탬프를 확인하면 해당 악성코드의 개발 및 배포 시점에 대한 정보를 얻을 수 있다.
• 해당 악성코드를 처음으로 식별한 시점을 파악하면, 이 악성코드가 실제로 탐지되기 전에 얼마나 오랫동안 환경 내에 있었을지 추정하는 데 도움이 될 수 있다. (즉, 이 악성코드가 wild에서 얼마나 활동했는지 확인하는 데 도움이 될 수 있다.)

 

• `Yellow Cockatoo`는 2020년 6월부터 관찰된 RAT 유형 악성코드이다.
• 유포 방식
  1. 사용자가 검색 엔진에서 특정 쿼리를 입력하면 악성 사이트로 릳다이렉션 하여 악성 실행 파일을 다운로드 하도록 유도함.
  2. Miscrosoft Word 아이콘을 사용해 정상 파일처럼 위장함. 이 때, 파일명 역시 사용자가 검색한 쿼리를 기반으로 생성하여 신뢰가 가도록 함.
  3. 사용자가 다운로드한 악성 파일을 실행하면 cmd가 실행되고 PowerShell 스크립트를 구동함.
  4. PowerShell 스크립트는 Base64와 XOR 연산을 활용해 내용을 난독화 하고, 난독화된 DLL 형태의 .NET RAT을 메모리에 로드함.