Basic/정보보안

XWorm v5.6 간단 정리

카고형 2025. 10. 10. 19:26
728x90

XWorm v5.6 — 무엇이고 어떻게 공격하는가

TL;DR
XWorm v5.6은 .NET 기반의 원격접근 트로이목마(RAT)로, 스크린샷·키로깅·파일 탈취·원격 명령 실행·DDoS 등 다양한 악성 행위를 수행할 수 있습니다. 주로 스크립트 드로퍼(WSF/VBS/PowerShell 등)를 통해 유포되며, 난독화·프로세스 주입·암호화 통신으로 탐지를 회피합니다. 자세한 분석 원문은 아래를 참고하세요.
원문 분석: https://cago-young.tistory.com/226

소개

XWorm은 Windows 환경에서 동작하는 .NET 기반 RAT(원격접근 트로이목마) 계열 악성코드입니다. 기능이 풍부하고 유연해 공격자가 다양한 목적(정보 탈취, 원격 제어, 네트워크 교란 등)에 맞게 활용할 수 있습니다. 최신 변종은 난독화와 암호화, 프로세스 인젝션 등 탐지 회피 기법을 사용합니다.

킬 체인 — XWorm 공격 흐름 (단계별)

  1. 정찰 (Reconnaissance)
    공격자는 표적(개인 또는 조직)을 선정하고, 피싱메일·사회공학 기법으로 신뢰를 쌓을 방법을 준비합니다.
  2. 전달 (Delivery)
    피싱 이메일의 첨부파일(문서, 압축파일)이나 외부 호스팅(paste.ee 등)에 올린 스크립트 링크를 통해 드로퍼(WSF/VBS/PS1 등)가 전달됩니다.
  3. 악용·실행 (Exploitation / Execution)
    사용자가 문서를 열거나 스크립트를 실행하면, 매크로나 스크립트가 동작해 드로퍼 체인이 실행됩니다. 드로퍼는 추가 페이로드(.NET DLL 또는 실행파일)를 다운로드·실행합니다.
  4. 설치·유지 (Installation / Persistence)
    페이로드는 시스템에 설치되어(혹은 메모리 상에서 로드되어) 레지스트리, 작업 스케줄러, 시작 폴더 등을 이용해 재부팅 후에도 동작하도록 지속성을 확보합니다.
  5. 명령·제어 연결 (Command & Control — C2)
    감염 호스트는 암호화된 채널로 C2 서버와 통신을 수립하고, 주기적 핑과 함께 원격 명령을 수신합니다.
  6. 목적 수행 (Actions on Objectives)
    공격자는 화면 캡처, 키로깅, 파일 검색·업로드·다운로드, 호스트 파일 조작(DNS 변조 가능), 원격 명령 실행, DDoS 등 다양한 행위를 수행해 정보 수집·탈취 또는 시스템 교란을 일으킵니다.

주요 기능(간단 요약)

  • 화면 캡처 및 실시간 원격 보기
  • 키로깅(입력 기록)
  • 파일 업로드/다운로드 및 원격 파일 실행
  • 프로세스 주입을 통한 탐지 회피
  • 네트워크 명령 실행(예: DDoS)
  • 설정·통신 암호화(변종에 따라 AES 등 사용)

감염 경로에서 주의할 점

  • 특히 .wsf, .vbs, .ps1, .docx 내 매크로, 압축파일(.zip/.rar) 내부 실행 파일 등 스크립트 기반 드로퍼를 통한 감염 사례가 많습니다.
  • 공격 체인은 여러 파일을 거치는 경우가 흔하므로 “한 파일만 열어도” 최종 페이로드가 내려올 수 있다는 점을 염두에 두세요.

사용자가 바로 적용할 수 있는 예방 수칙

  1. 의심스러운 메일·첨부파일은 열지 않기 — 특히 출처 불분명한 문서, 압축파일, 실행 권유 메시지 주의.
  2. 매크로·스크립트 기본 비활성화 — 문서가 매크로 실행을 요구하면 발신자 확인 후에도 실행 금지.
  3. 윈도우·오피스·브라우저 등 주요 소프트웨어는 최신 상태 유지 — 보안 패치 적용.
  4. 백신/EDR 사용 및 정기 검사 — 의심 파일을 발견하면 격리 후 전문가에게 문의.
  5. 중요 계정은 2단계 인증(OTP) 사용 — 비밀번호 유출 시 추가 방어막 제공.
  6. 비밀번호 재사용 금지·주기적 변경 — 한 계정 노출이 다른 계정으로 번지지 않도록.
  7. 스크립트(.ps1/.vbs/.wsf 등) 파일은 함부로 실행하지 않기 — 개발자용 파일도 출처 확인 필요.

마무리

XWorm은 기능이 다양하고 진화하는 악성코드입니다. 다행히도 대부분의 공격은 피싱·의심 파일 실행 같은 사람의 실수를 노리므로, 작은 주의(메일 주의, 매크로 비활성화, 업데이트, 백신, 2단계 인증)만으로도 피해 위험을 크게 줄일 수 있습니다.

원문 전문 분석(기술적 세부사항)은 아래를 참고하세요.
원문 분석: https://cago-young.tistory.com/226

 

[분석]XWorm v5.6: .NET 기반 트로이 목마(RAT)

[분석]XWorm v5.6: .NET 기반 트로이 목마(RAT)Xworm은 그 어떤 악성 프로그램과도 비교할 수 없을 만큼 강력하고 교묘한 **원격 접근 트로이 목마(RAT)**입니다. Windows 운영 체제를 타겟으로 하는 이 악성

cago-young.tistory.com

 

728x90
저작자표시 비영리 변경금지 (새창열림)

'Basic > 정보보안' 카테고리의 다른 글

RemcosRAT 6.0.0 Pro 간단 정리  (1) 2025.10.06
AsyncRAT v0.5.8 간단 정리  (3) 2025.10.02
AgentTesla 간단 정리  (1) 2025.09.29
PureLogs Stealer  (2) 2025.09.13
환경부 사칭 쓰레기(음식물) 스미싱 피싱 사이트 분석(25.07.25)  (5) 2025.07.25

'Basic/정보보안'의 다른글

  • 현재글XWorm v5.6 간단 정리

관련글

댓글

티스토리툴바