Gh0st RAT 3.78은 Gh0st RAT - Bot간 Gh0st 통신 시, 기존 Gh0st Protocol 형식에


zlib + Data 부분을 xor하여 전송하게 된다. 


기존 78 9c (zlib) 기준으로 생성된 패턴으로 탐지가 불가하므로 이에 확인 필요


78 9c가 아닌 다른 값을 가지고 있어서 확인해보니... 


XOR 하는 부분이 존재한다. 이는 기존 snort 및 보안 장비 우회를 위해 변형한 것으로 보인다.



-- 2014. 10. 30

Gh0st RAT 3.78은 사용자가 임의로 XOR Key 값을 지정할 수 있으며

해당 Key 값은 byte마다 적용되는데 적용되는 범위는 통신 상 payload 길이에 따라 달라질 수 있다.

+ Recent posts