# GitHub에 솔루션파일(*.sln) 위장하여 유포되는 RAT 툴 **asec.ahnlab.com/ko/37764/** 2022년 8월 18일 ASEC 분석팀에서는 최근 GitHub 에서 솔루션파일(*.sln)을 위장하여 RAT 툴이 유포 중인 것 을 확인하였다. [그림1] 은 악성코드 유포자가 GitHub에 “Jpg Png Exploit Downloader Fud Cryter Malware Builder Cve 2022” 제목으로 소스코드를 공유한 내용이다. 프로그램의 구성파 일이 정상적으로 보이지만 이 중 솔루션파일(*.sln)은 RAT 툴이다. 이와 같은 방법으로 악성코 드 유포자는 RAT 툴을 솔루션파일(*.sln)로 위장하여 실행을 유도한다. 일반적으로 프로그래 머는 솔루션파일이 포함된 코드를 받고 프로젝트를 열기위해 솔루션파일을 오픈한다. 이러한 심리를 이용한 사회공학기법에 대한 주의가 필요하다. ----- [그림1] GitHub에 공개된 위장 파일 위 파일들을 받게되면 아래 [그림2] 처럼 파일들이 존재한다. [그림2]의 환경은 “알려진 파일형 식의 파일 확장명 숨기기” 가 해제된 환경이다. 이 중 솔루션파일(*.sln)의 아이콘을 갖는 파일 은 표기되는 이름도 솔루션 파일처럼 보이기 때문에 실행에 주의가 필요하다. 이는 사용자의 실행을 유도하기 위한 목적으로 제작된 악성코드로 유형을 잘 살펴보면 화면 보호기 임을 알 수 있다. Windows 환경에서 .scr 파일은 실행이 가능한 확장자이기 때문에 실행 시 악성코드 에 감염된다. ----- [그림2] 다운로드 받은 파일 목록 [그림3] AsyncRAT C2 복호화 솔루션 파일로 위장된 악성코드는 파일 진단을 우회하기 위해 파일 외형을 변경시키는 크립터 툴을 사용했으며, 실행 시 윈도우 정상 프로그램인 AppLaunch.exe, RegAsm.exe, InstallUtil.exe 에 인젝션되어 실행되며 최종 실행되는 악성코드는 RAT 툴 이다. ----- [그림4] 악성코드를 ZIP 파일로 압축한 데이터 GitHub와 Windows탐색기의 확장자가 솔루션파일(*.sln) 처럼 보이는 원리는 파일을 압축하여 확인 가능하다. 과거 ASEC블로그에 작성된 내용처럼 [그림4]의 “RIGHT-TO-LEFT OVERRIDE”를 뜻하는 유니코드 문자를 사용하기 때문이다. 유니코드 문자열을 이용하여 문서파일로 위장한 악성코드 이렇듯 최근 많은 사용자가 접속하는 GitHub 에서 악성코드 유포자가 악의적인 목적으로 소스 코드에 관련된 파일이 아닌 악성코드를 솔루션파일(*.sln)로 위장하여 배포되는 사례가 늘어나 고 있다. 사용자들은 신뢰되지 않은 작성자가 공개한 내용의 열람에 주의를 기울여야한다. 또 한, 사용하고 있는 백신을 항상 최신 버전으로 업데이트하여 관리하는 주의가 필요하다. AhnLab V3에서는 해당 악성코드들에 대해 아래와 같이 진단하고 있다. **[파일** 진단] Trojan/Win.Leonem.C5218555 (2022.08.04.00) Trojan/Win.Agent.C4526491 (2021.06.30.03) HackTool/Win32.Vbinder.R12127 (2015.02.14.01) Trojan/Win.SmokeLoader.R510280 (2022.08.12.04) Trojan/Win.MSILZilla.C5129545 (2022.05.15.02) Trojan/Win.Generic.C5198415 (2022.07.08.03) **[행위** 진단] Malware/MDP.Inject.M3037 Execution/MDP.Powershell.M3991 Malware/MDP.AutoRun.M1037 Execution/MDP.SystemManipulation.M1788 Malware/MDP.Inject.M1252 **[IOC 정보]** hxxps://github.com/emanuelandrei/Jpg-Png-Exploit-Downloader-Fud-Cryter-MalwareBuilder-Cve-2022 0cfa5f7c008e3dc2df275a99aef9cbbb // Jpg Photo Exploit Projrcs..sln‮ b1f02c7efc154019e9f1974939e204b9 hxxps://github.com/VortexRadiation/VenomControl-Rat-Crack-Source ----- 98d7999986d63fbd914bddc3d7b7ecf9 // Venom Control Client.sln‮ 8b662719e44ab11419fe3e1d7e96cc03 hxxps://github.com/VortexRadiation/Jpg-Png-Exploit-Downloader-Fud-Cryter-MalwareBuilder-Cve-2022 9a01d2f0aad78bcc4a4ca07552154ee1 // Jpg Photo Exploit Proj.sln‮ hxxps://github.com/Lessermask/Discord-Image-Token-Password-Grabber-Exploit-Cve2022 9fd996ce42d667ba01c902124bf95f6d // Discord Image Token Grabber.sln‮ 연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구 독 서비스를 통해 확인 가능하다. **.** [Categories:미분류,](https://asec.ahnlab.com/ko/category/uncategorized-ko/) [악성코드](https://asec.ahnlab.com/ko/category/malware/) 정보 [Tagged as:AsyncRAT,](https://asec.ahnlab.com/tag/asyncrat/) [유니코드,](https://asec.ahnlab.com/ko/tag/%ec%9c%a0%eb%8b%88%ec%bd%94%eb%93%9c/) [malware](https://asec.ahnlab.com/ko/tag/malware/) -----