은닉형 악성코드 이해(RAT)
2021. 5. 6. 16:47ㆍ리버싱,악성코드분석
원격에 존재하는 공격자에 서버에 접근하여 명령을 보내고 명령을 수행하면서
동작하면 RAT라고 볼수있다. (VNC, 팀뷰어 등)
은닉형 악성코드는 자신의 존재를 숨기기위해 높은권한을 획득하여
임시경로가아닌 주요경로파일에 악성코드를 생성하여 숨길수있고
윈도우 사용자 단위인 SESSION 0 시스템권한 으로 동작하게하여
악성코드가 사용자와 상호작용이 불가능하게 만들어 숨길 수 있음.
SESSION 1+ (로컬,원격 데스크톱 사용자)
process explorer 에서 확인가능.
'리버싱,악성코드분석' 카테고리의 다른 글
| 드롭퍼 형 악성코드 분석(리소스 유형) (0) | 2021.05.15 |
|---|---|
| PE 헤더 IAT 이해 (0) | 2021.05.07 |
| 문서형 악성코드 이해 (0) | 2021.05.06 |
| UAC 우회기법 (0) | 2021.05.06 |
| UAC 이해 (0) | 2021.05.06 |