오늘은 북한 해킹 단체인 Lazarus(라자루스) 에서 만든 악성코드인 RAT PyLangGhost RAT인 nvidia.py에 대해 알아보겠습니다.
ファイル名:nvidia.py
サイズ:1 MB
MD5:ad630696d9601030e7f089f4b48c42f3
SHA-1:ab57983c77db1e9260f91b5362c891c7a90e1831
SHA-256:a179caf1b7d293f7c14021b80deecd2b42bbd409e052da767e0d383f71625940
nvidia.py 분석
Windows에서 동작하는 Python 기반 백도어
특징
레지스트리 Run 키를 통한 지속성 확보:wscript.exe 를 사용을 해서 update.vbs 실행하도록 설정
단일 인스턴스 보호: PID 파일과 psutil로 이미 실행 중인지 확인
호스트 식별자 저장 %TEMP%에 4바이트 랜덤 값(HEX)을 저장하여 재사용
C2(명령제어) 루프: 서버와 교신하며 명령을 받아 실행(정보 수집, 파일 업로드/다운로드,쉘 실행 등)
악성코드는 command,api,config 같은 로컬 모듈에 의존하고 있으며 실제 C2 URL, 레지스트리 경로, 파일 이름 등은 config.py에 정의되어 있음
이전에 작성한 글을 보시면 될 것입니다.
악성코드 동작
지속성
일반적으로 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 하위에 쓰는 형태
wscript.exe,update.vbs 를 이용해 실제 페이로드를 숨기는 역할
config.PID0623NAME 파일에서 PID를 읽고 해당 PID가 존재하고 있으며 프로세스를 중단
현재 PID를 파일에 쓰는 방식으로 구현
호스트 식별자
임시 디렉터리(%TEMP%)에 config.MACHINEID0623HOSTFILE 이름으로 4바이트 랜덤을 16진수로 저장 이후 실행 시 재사용
C2 프로토콜
메시지 생성:command.makeMsg0623(uuid, msg_type, msg_data)
서버 교환:api.htxp0623Exchange(config.UPLOAD0623URL, msg)
응답 해석:command.decodeMsg0623(cmd)
명령 핸들러:
COMMAND0623INFORMATION->processInfo() (시스템 정보 수집)
COMMAND0623FILEUPLOAD->processUpload() (파일 업로드/유출)
COMMAND0623FILEDOWNLOAD->processDownload() (파일 다운로드)
COMMAND0623TERMINAL->await processTerminal()(원격 셸,명령 실행)
COMMAND0623AUTO->processAuto() (사전 정의된 자동 작업,쿠키 탈취 등)
COMMAND0623WAIT->processWait()
COMMAND0623EXIT->processExit() 및 루프 종료
예외 발생 시 복구 로직: 예외를 로깅 하고 COMMAND0623INFORMATION 로 리셋한 뒤 config.DURATION0623ERRORWAIT 만큼 대기
쿠키
command cookie 인자로 실행 시:
Google Chrome(구글 크롬) 쿠키 탈취 관련 자동 작업을 명시적으로 실행하도록 요청
Google의 Chromium 엔진 기반으로 하는 브라우저들 네이버 웨일,마이크로소프트 엣지,Brave,Opera 등 싹다.
브라우저에 비밀 번호 저장하면 안 되는 이유
쿠키에는 로그인 세션(토큰) 같은 민감 정보가 들어 있을 수 있어서 공격자가 그 쿠키를 훔치면 비밀번호 없이도 사용자인 척 서비스에 접속할 수 있음
브라우저 쿠키 삭제 이유
1. 세션 하이재킹: 많은 웹사이트는 로그인 상태를 유지하기 위해 세션 쿠키(토큰)를 사용
공격자가 이 쿠키를 얻으면 비밀번호 없이도 해당 계정으로 접근할 수 있음
2. 영구적 접근 차단
쿠키가 탈취되어 외부에 유출되면 해당 쿠키로 계속 접근할 수 있음 쿠키를 삭제하면 로컬에 남아있는 세션 토큰을 제거해 즉시 이용을 어렵게 만들게 됨
3. 탈취된 쿠키의 재사용 방지
악성코드가 쿠키를 서버로 전송(또는 파일로 저장)했다면 단순히 프로세스를 끄는 것만으로는 사태가 수습되지 않음 서버 측에서 세션을 무효로 하거나 사용자가 재로그인하도록 강제해야 함
4. 피해 예방
쿠키 외에도 로컬에 저장된 캐시,세션 정보(로컬 스토리지 등)도 공격자가 활용할 수 있으므로 함께 정리하는 것이 안전
결론 브라우저에 비밀번호 저장하지 말고 사용을 하시고 기본적으로 AV-TEST에서 인정받은 안티바이러스(백신프로그램)를 사용을 하는 것을 권장하면 의심 가는 파일은 가장 확실하려면 보안 업체에 샘플을 제공을 해서 분석을 받고 사용을 하는 방법도 있으면 기본적으로 불법 프로그램 및 불법 음원은 사용하지 말라는 것입니다. 끝
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 북한 Lazarus(라자루스) 에서 만든 RAT PyLangGhost RAT 분석-util.py (0) | 2025.11.11 |
|---|---|
| 김수키(Kimsuky) 한컴 에이전트-국내 A형간염 현황 및 예방접종 권고 대상자 안내.pdf.scr.exe (0) | 2025.11.08 |
| 김수키(Kimsuky) 행정안전부 사칭 이메일 분석(2025.10.9) (0) | 2025.11.06 |
| 구글 크롬 2026년 10월부터 HTTPS 기본 활성화 (0) | 2025.11.05 |
| 북한 김수키(Kimsuky)에서 만든 악성코드-rmod.msc (0) | 2025.10.31 |
| 모질라 파이어폭스 144.0.2 보안 업데이트 (0) | 2025.10.29 |
| 윈도우 업데이트로 위장한 클릭픽스(ClickFix) 공격 (0) | 2025.10.29 |
| VirtualBox CVE-2025-62641 취약점 공개 및 업데이트 (0) | 2025.10.28 |
