악성코드 분석가가 겪은 트로이 목마(Trojan)와의 만남

게시글에서는 피싱(Phishing) 기법을 통해 악성코드가 유포되는 과정을 설명한다. 사용자가 웹사이트에 접속하면, 클라우드플레어(Cloudflare)를 사칭한 페이지를 거쳐 악성코드가 포함된 팝업 창이 나타난다. 특히, 난독화된 파워쉘 스크립트(Obfuscated PowerShell)를 사용하여 악성코드의 실행을 은폐하고, 분석을 어렵게 만든다. 이러한 방식은 사용자의 무지(Ignorance)를 악용하여 악성코드 감염을 유도한다.

게시글은 악성코드 분석을 위해 리버스 엔지니어링(Reverse Engineering) 과정을 거치는 과정을 상세히 설명한다. 먼저, 난독화된 파워쉘 스크립트를 분석하여 악성코드의 동작 방식을 파악한다. 이후, Cutter 및 Ghidra와 같은 도구를 사용하여 악성코드의 바이너리 파일을 분석하고, Go 언어로 작성되었음을 확인한다. 또한, Hybrid Analysis를 통해 악성코드의 네트워크 트래픽을 모니터링하고, 악성코드의 기능을 파악한다.

분석 결과, 해당 악성코드는 RedCap 인포스틸러(Infostealer)로 확인되었다. RedCap은 ChaCha20 암호화를 사용하여 통신하며, macOS Firefox 사용자 에이전트를 위장하여 탐지를 회피한다. 특히, Chrome 및 Firefox의 쿠키와 비밀번호를 탈취하고, 로컬 프록시 설정을 변경하여 추가적인 네트워크 트래픽을 캡처하려 시도한다. 또한, Postman 인증서를 위조하여 시스템 신뢰도를 높이려 시도하지만, 실패한다.

게시글은 악성코드 분석 후, 해당 악성코드에 대한 대응 방안을 제시한다. 먼저, 악성코드가 유포된 도메인과 VPS를 신고하여 차단한다. 또한, 악성코드에 의해 설치된 파일을 삭제하고, 시스템을 정리한다. 특히, 데이터 미저장 정책(Zero-Retention Policy)을 통해 개인 정보를 보호하고, 데이터 격리 아키텍처(Data Isolation Architecture)를 구축하여 시스템 보안을 강화하는 것이 중요하다.