RemcosRAT 6.0.0 Pro — 상용 RAT의 악성화 과정
TL;DR
RemcosRAT는 독일 Breaking Security사에서 합법적 원격 관리용으로 개발된 상용 프로그램이지만, 2016년 이후 사이버 범죄자들에게 악용되어 강력한 정보 탈취·원격 제어 악성코드로 자리 잡았습니다.
CVE-2017-11882 취약점과 VBE 스크립트를 통한 감염, 지속적인 버전 업데이트, 그리고 다양한 원격 명령 기능이 특징입니다.
👉 참고 원문: https://cago-young.tistory.com/227
[분석] RemcosRAT 6.0.0 Pro
보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.
cago-young.tistory.com
RemcosRAT이란?
Remcos(Remote Control & Surveillance)는 Windows 환경에서 원격 접근 및 감시를 목적으로 만들어진 RAT(Remote Access Trojan)입니다.
원래는 **Breaking Security(독일)**가 개발한 합법 상용 프로그램이지만, 2016년경 다크웹을 통해 불법 유포되면서 악성 행위에 사용되기 시작했습니다.
2025년 현재까지도 매달 버전이 업데이트될 정도로 활발히 유지·보수되는 상용형 악성코드입니다.
Remcos는 감염된 시스템을 완전히 제어할 수 있으며, 키로깅·화면 캡처·웹캠 녹화·파일 조작 등 다양한 기능을 수행합니다.
특히 암호화된 통신(AES-128, RC4)과 프로세스 인젝션으로 탐지 회피 성능이 매우 뛰어납니다.
감염 경로 및 실행 흐름
Remcos는 주로 피싱 이메일의 악성 문서(doc) 또는 압축파일(.zip, .rar) 형태로 전달됩니다.
대표적으로 문서 내 수식편집기(EQNEDT32.EXE) 취약점 CVE-2017-11882을 악용하여 감염됩니다.
📦 감염 절차
- DOC 파일 실행 → CVE-2017-11882 취약점 이용
- WSF/VBE 스크립트 다운로드 및 실행
- VBScript 복호화 → HEX 디코딩 후 Remcos 실행파일(MZ 헤더) 드롭
- 레지스트리 등록 및 스케줄러 등록 (지속성 확보)
- .NET 환경 탐지 → 조건에 따라 페이로드 분기
- Remcos 페이로드 실행 및 C2 서버 연결
이후 공격자는 C2(Command & Control) 서버를 통해 명령을 전송하고, 피해 PC를 실시간으로 제어합니다
주요 기능
- 키로깅 / 클립보드 탈취 / 스크린샷 캡처
- 웹캠 및 오디오 모듈 제어
- 파일 업로드·다운로드 / 삭제 / 실행
- 프로세스 관리 / 서비스 조작 / 시스템 종료
- 레지스트리 조작을 통한 지속성 확보
- C2 기반 자동 업데이트 (UpdateFromURL / UpdateFromC2)
Remcos는 단순 감시를 넘어, 감염된 PC를 완전히 원격 제어 가능한 수준의 RAT입니다.
VBScript 주요 기능 분석 요약
복호화된 VBE 스크립트는 다음과 같은 악성 행위를 수행합니다.
| 레지스트리 조작 | 악성 설정 및 페이로드 문자열 저장 |
| 작업 스케줄러 등록 | 1분 주기로 실행되는 지속성 트리거 |
| VBS 파일 생성 | %APPDATA% 경로에 악성 스크립트 생성 |
| .NET 프레임워크 탐지 | 존재 시 페이로드 드롭 및 실행 |
| 안티바이러스 탐지 회피 | Windows 보안 센터 키 탐색을 통한 AV 탐지 |
| PowerShell 인젝션 | Base64 인코딩된 코드 로드 및 실행 |
즉, 사용자의 개입 없이 완전 자동으로 감염 체인이 이어지며,
모든 설정·코드가 레지스트리 기반으로 암호화 저장되어 분석을 어렵게 만듭니다.
Remcos 동작 구조 요약 (Kill Chain)
- 전달 — 악성 문서/메일 첨부 → CVE-2017-11882 취약점 실행
- 실행 — VBScript 디코딩 및 페이로드 생성
- 설치 — 레지스트리 및 작업 스케줄러 등록
- 통신 — 암호화된 C2 연결 (TCP)
- 명령 수행 — 정보 탈취, 화면 캡처, 키로깅, 파일 조작
- 지속성 유지 — 재부팅 후 자동 실행
주요 명령 코드 테이블
| 0x1 | HeartBeat | C2 서버와 연결 상태 확인 |
| 0x6 | ListRunningProcesses | 실행 중인 프로세스 목록 수집 |
| 0xD | ExecuteShellCmd | 쉘 명령(cmd, PowerShell) 실행 |
| 0x13 | StartOnlineKeylogger | 실시간 키 입력 전송 |
| 0x1B | StartWebcamModule | 웹캠 녹화 시작 |
| 0x1F | StealPasswords | 브라우저 저장 비밀번호 탈취 |
| 0x18 | CleanBrowsersCookiesAndLogins | 브라우저 쿠키/로그인 흔적 삭제 |
| 0x98 | FileManager | 파일 탐색, 업/다운로드, 삭제 |
| 0xB2 | ShellExecuteOrInjectPE | 실행 파일 실행 또는 PE 코드 인젝션 |
| 0xC6 | UploadBrowsersCookiesAndPasswords | 쿠키·비밀번호 업로드 |
전체 명령 목록은 Elastic Security Labs의 RemcosRAT Dissection 시리즈 참고.
결론
RemcosRAT 6.0.0 Pro는 “합법적 소프트웨어의 악성화”를 대표하는 사례로,
정상 도구가 공격자의 손에 들어가면 얼마나 강력한 스파이 도구가 될 수 있는지를 보여줍니다.
지속적인 버전 업데이트와 다양한 명령 구조로 인해 방어가 쉽지 않지만,
취약점 관리·메일 보안·EDR 모니터링을 병행한다면 감염 위험을 상당히 낮출 수 있습니다.
👉 참고: https://cago-young.tistory.com/227
[분석] RemcosRAT 6.0.0 Pro
보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.
cago-young.tistory.com
'Basic > 정보보안' 카테고리의 다른 글
| XWorm v5.6 간단 정리 (2) | 2025.10.10 |
|---|---|
| AsyncRAT v0.5.8 간단 정리 (3) | 2025.10.02 |
| AgentTesla 간단 정리 (1) | 2025.09.29 |
| PureLogs Stealer (2) | 2025.09.13 |
| 환경부 사칭 쓰레기(음식물) 스미싱 피싱 사이트 분석(25.07.25) (5) | 2025.07.25 |