Beast

• 원격 PC 제어를 위한 프로그램
• 현재는 구하기 힘든 프로그램 구하더라도 악성코드로 인식해 설치하기가 까다롭다.

• 기능
  • 백도어 생성(Direct, Reverse Connection)
  • 레지스트리를 이용한 자동실행
  • Anti-Virus, Firewall 종료 기능
  • Trojan-Horse 생성
  • 파일, 레지스트리, 화면 웹캠, 프로세스 서비스, 클립보드 정보 변경 도는 탈취
  • 컴퓨터 제어(종료, 부팅, 크래쉬, 로그 아웃, …)
  • 장난스러운 기능
  • 프로그램 제어(업데이트, 연결 종료, 프로그램 삭제, …)
  • 키로깅(Key Logger, Live Key Logging, …)
  • 스캐닝(Scanning)

Beast 기능

Basic

• 연결 방식 설정
  • Direct Connection : 실행되는 컴퓨터에서 서버로 동작하여 공격자가 클라이언트로서 접근
  • Reverse Connection : 실행되는 컴퓨터 측에서 공격자 측의 Beast Server로 접근(방화벽 우회)
• Injection 설정
  • No Injection : 실행 파일(exe)로 생성
  • Injection : 실행 모듈(dll)로 생성되어 Target Process로 Injection 수행(프로세스 은닉)

Notifications

• SIN
  • Reverse Connection 수행 시 Server로 접근할 IP 주소와 연결 주기(Timeout) 설정

Startup

• 자동 실행을 위한 레지스트리 위치 설정
• 3가지 경로에 자동 실행이 등록되며, 동시에 삭제하지 않을 경우 재생성 된다.(라이프 사이클 유지)

AV-FW Kill

• Anti-Virus, Firewall 종료 기능
• 주기적으로 Anti-Virus와 Firewall의 실행 여부를 탐지하여 종료 시킨다.
• 이로 인해 현재 Anti-Virus 들은 자가 보호 기능을 수행하며 간단하게 종료시킬 수 없다.
• 현재는 커널 모듈을 이용하여 안티바이러스를 종료시키는 기능으로 진화

Exe Icon

• 생성되는 파일의 Icon 정보 수정
• Trogen Horse 개념이 될 수 있으나 실제 유틸리티가 실행되는 것은 아니고 단순히 아이콘만 위장
• ex) 이력서.exe로 생성 후 워드 아이콘으로 위장하는 개념