Upload
youngjun-chang
View
464
Download
2
Embed Size (px)
DESCRIPTION
2006년 5월 기술지원 부서 대상 2차 교육 자료
Citation preview
1
악성코드와 시스템 복구
2006. 5. 4
㈜ 안철수연구소
ASEC 분석1팀 장영준 연구원
2
목 차 1. 악성코드 감염 특성
2. 악성코드 감염 시스템
3. 윈도우 시스템 복구
3
1. 악성코드 감염 특성
4
1. 악성코드 감염 특성 (1/4)
1. 복사본 생성
윈도우 폴더 또는 시스템 폴더에 복사본 생성
레지스트리 생성
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon "Shell“ 에 추가
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"load“ 에 생성
2. 자동 실행
5
1. 악성코드 감염 특성 (2/4)
2. 자동 실행
윈도우 서비스 등록
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
시작 프로그램 폴더
c:\Documents and Settings\Administrator\시작 메뉴\프로그램\Startup
3. 보안 프로그램 무력화
보안 프로그램 프로세스 강제종료
윈도우 시스템 유틸리티 프로세스 강제종료
레지스트리 수정으로 보안 프로그램의 윈도우 서비스 비활성화
레지스트리 수정으로 윈도우 보안센터 비활성화
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
하위 키에 존재하는 백신, 방화벽, 윈도우 업데이트 서비스 관련 키 설정 변경
6
1. 악성코드 감염 특성 (3/4)
3. 보안 프로그램 무력화
레지스트리 수정으로 윈도우 방화벽 우회
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\
하위 키로 자신의 프로세스명을 등록
레지스트리 수정으로 윈도우 시스템 유틸리티 실행 불가
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
하위키에 "DisableCMD“와 "DisableRegistryTools“ 키 생성
4. 파일 은폐
파일 속성을 “숨김”과 “시스템 파일”로 설정
윈도우 폴더 옵션 설정 변경
- “숨김 파일 및 폴더 표시 안 함” 로 변경
“알려진 파일 형식의 파일 확장명 숨기기” 로 변경
- “보호된 운영 체제 파일 숨기기” 로 변경
7
1. 악성코드 감염 특성 (4/4)
특정 TCP 또는 UDP 포트를 이용
인터넷 익스플로러의 스레드로 인젝션 후 이용
익스플로러 (explorer.exe)의 스레드로 인젝션 후 이용
특정 프로세스의 스레드로 인젝션 후 이용
5. 네트워크 연결
6. 사회공학 기법
파일 명칭이 윈도우 시스템 파일과 유사
정상 프로그램의 파일 명칭과 유사
정상 파일 명칭과 동일하나 파일 위치가 다른 경로에 존재
파일의 등록정보 미존재
8
2. 악성코드 감염 시스템
9
2. 악성코드 감염 시스템 (1/5)
1. 악성코드 형태별 감염 증상
바이러스 감염 시스템
- 대부분의 파일과 프로그램이 정상 실행이 되지 않음.
- 윈도우 시스템 파일들의 비정상적 오류 발생
- 임시 복구가 어려움
- 윈도우 시스템 복원 또는 백신을 이용한 감염 파일 치료
웜 감염 시스템
- 네트워크 트래픽 과다 발생
- 시스템 자원 과다 점유로 다른 프로그램 실행 어려움
- 레지스트리 설정 변경으로 시스템 이상 증상 발생
- 웜 프로세스 강제 종료 및 웜 삭제
- 변경된 레지스트리 설정 복구
10
2. 악성코드 감염 시스템 (2/5)
트로이목마 감염 시스템
- 시스템 설정 변경으로 이상 증상 발생
- 형태에 따라 네트워크 트래픽 과다 발생
- 형태에 따라 시스템 자원 과다 점유
- 트로이목마 프로세스 강제 종료 및 트로이목마 삭제
- 변경된 레지스트리 복구
1. 악성코드 형태별 감염 증상
11
2. 악성코드 감염 시스템 (3/5)
2. 악성코드 감염 의심 시스템
악성코드 감염 의심 시스템의 랜선 제거
안전모드로 재시작 후 최신엔진의 백신을 이용한 시스템 전체 검사
안레포트 (AhnReport) 로그 분석
- 악성코드로 의심되는 프로세스가 존재하는가 ?
- 악성코드로 의심되는 파일이 스레드로 인젝션되어 있는가 ?
- 악성코드로 의심되는 파일이 시스템 시작 프로그램으로 등록되어 있는가 ?
- 악성코드로 의심되는 프로세스가 네트워크 포트를 과다하게 사용하고 있는가 ?
다양한 시스템 모니터링 도구를 이용하여 시스템 변화 관찰
12
3. 악성코드 감염 시스템 사례
2. 악성코드 감염 시스템 (4/5)
Win-Trojan/LineageHack 트로이목마 감염
- 실행압축
- 특정 명칭의 DLL 파일 생성 및 프로세스에 스레드로 인젝션
- 레지스트리 수정으로 자동 실행
- 특정 프로세스 또는 웹 사이트 접속시 키보드 입력 후킹
- 후킹한 키보드 입력 값을 외부 제 3의 시스템으로 전송
13
3. 악성코드 감염 시스템 사례
Win-Trojan/Hupigon 트로이목마 감염
- 실행 압축
- 다수의 DLL 파일 생성
- 유저 모드 은폐기능을 수행
- 인터넷 익스플로러의 핸들로 등록
- 키보드 입력을 후킹
- 외부 제 3의 시스템으로 접속 시도
2. 악성코드 감염 시스템 (5/5)
14
3. 윈도우 시스템 복구
15
3. 윈도우 시스템 복구 (1/2)
1. 윈도우 시스템 복원 기능
윈도우 ME, 2000, XP, 2003에 포함된 시스템 복원 기능 활용
- 기본 설정으로 시스템 복원 기능 활성화
- 특정 일자 또는 “마지막 시스템 검사점” 으로 복원 가능
[윈도우 시스템 복원 기능] [윈도우 시스템 복원 기능]
16
2. 윈도우 시스템 백업 및 복원 기능
윈도우 2000, XP, 2003에 포함된 시스템 백업 기능 활용
- 사용자 설정에 따른 백업 기능 활성화
- 사용자 설정에 따라 백업 데이터 지정 가능
- 스케줄링에 의한 자동화된 백업 기능 활성화 가능
[윈도우 시스템 백업 기능] [윈도우 시스템 백업 기능]
3. 윈도우 시스템 복구 (2/2)
17
감사합니다
Q&A