1

악성코드와 시스템 복구

2006. 5. 4

㈜ 안철수연구소

ASEC 분석1팀 장영준 연구원

2

목 차 1. 악성코드 감염 특성

2. 악성코드 감염 시스템

3. 윈도우 시스템 복구

3

1. 악성코드 감염 특성

4

1. 악성코드 감염 특성 (1/4)

1. 복사본 생성

윈도우 폴더 또는 시스템 폴더에 복사본 생성

레지스트리 생성

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT

\CurrentVersion\Winlogon "Shell“ 에 추가

- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

"load“ 에 생성

2. 자동 실행

5

1. 악성코드 감염 특성 (2/4)

2. 자동 실행

윈도우 서비스 등록

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

시작 프로그램 폴더

c:\Documents and Settings\Administrator\시작 메뉴\프로그램\Startup

3. 보안 프로그램 무력화

보안 프로그램 프로세스 강제종료

윈도우 시스템 유틸리티 프로세스 강제종료

레지스트리 수정으로 보안 프로그램의 윈도우 서비스 비활성화

레지스트리 수정으로 윈도우 보안센터 비활성화

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

하위 키에 존재하는 백신, 방화벽, 윈도우 업데이트 서비스 관련 키 설정 변경

6

1. 악성코드 감염 특성 (3/4)

3. 보안 프로그램 무력화

레지스트리 수정으로 윈도우 방화벽 우회

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

\Parameters\FirewallPolicy\

하위 키로 자신의 프로세스명을 등록

레지스트리 수정으로 윈도우 시스템 유틸리티 실행 불가

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

하위키에 "DisableCMD“와 "DisableRegistryTools“ 키 생성

4. 파일 은폐

파일 속성을 “숨김”과 “시스템 파일”로 설정

윈도우 폴더 옵션 설정 변경

- “숨김 파일 및 폴더 표시 안 함” 로 변경

“알려진 파일 형식의 파일 확장명 숨기기” 로 변경

- “보호된 운영 체제 파일 숨기기” 로 변경

7

1. 악성코드 감염 특성 (4/4)

특정 TCP 또는 UDP 포트를 이용

인터넷 익스플로러의 스레드로 인젝션 후 이용

익스플로러 (explorer.exe)의 스레드로 인젝션 후 이용

특정 프로세스의 스레드로 인젝션 후 이용

5. 네트워크 연결

6. 사회공학 기법

파일 명칭이 윈도우 시스템 파일과 유사

정상 프로그램의 파일 명칭과 유사

정상 파일 명칭과 동일하나 파일 위치가 다른 경로에 존재

파일의 등록정보 미존재

8

2. 악성코드 감염 시스템

9

2. 악성코드 감염 시스템 (1/5)

1. 악성코드 형태별 감염 증상

바이러스 감염 시스템

- 대부분의 파일과 프로그램이 정상 실행이 되지 않음.

- 윈도우 시스템 파일들의 비정상적 오류 발생

- 임시 복구가 어려움

- 윈도우 시스템 복원 또는 백신을 이용한 감염 파일 치료

웜 감염 시스템

- 네트워크 트래픽 과다 발생

- 시스템 자원 과다 점유로 다른 프로그램 실행 어려움

- 레지스트리 설정 변경으로 시스템 이상 증상 발생

- 웜 프로세스 강제 종료 및 웜 삭제

- 변경된 레지스트리 설정 복구

10

2. 악성코드 감염 시스템 (2/5)

트로이목마 감염 시스템

- 시스템 설정 변경으로 이상 증상 발생

- 형태에 따라 네트워크 트래픽 과다 발생

- 형태에 따라 시스템 자원 과다 점유

- 트로이목마 프로세스 강제 종료 및 트로이목마 삭제

- 변경된 레지스트리 복구

1. 악성코드 형태별 감염 증상

11

2. 악성코드 감염 시스템 (3/5)

2. 악성코드 감염 의심 시스템

악성코드 감염 의심 시스템의 랜선 제거

안전모드로 재시작 후 최신엔진의 백신을 이용한 시스템 전체 검사

안레포트 (AhnReport) 로그 분석

- 악성코드로 의심되는 프로세스가 존재하는가 ?

- 악성코드로 의심되는 파일이 스레드로 인젝션되어 있는가 ?

- 악성코드로 의심되는 파일이 시스템 시작 프로그램으로 등록되어 있는가 ?

- 악성코드로 의심되는 프로세스가 네트워크 포트를 과다하게 사용하고 있는가 ?

다양한 시스템 모니터링 도구를 이용하여 시스템 변화 관찰

12

3. 악성코드 감염 시스템 사례

2. 악성코드 감염 시스템 (4/5)

Win-Trojan/LineageHack 트로이목마 감염

- 실행압축

- 특정 명칭의 DLL 파일 생성 및 프로세스에 스레드로 인젝션

- 레지스트리 수정으로 자동 실행

- 특정 프로세스 또는 웹 사이트 접속시 키보드 입력 후킹

- 후킹한 키보드 입력 값을 외부 제 3의 시스템으로 전송

13

3. 악성코드 감염 시스템 사례

Win-Trojan/Hupigon 트로이목마 감염

- 실행 압축

- 다수의 DLL 파일 생성

- 유저 모드 은폐기능을 수행

- 인터넷 익스플로러의 핸들로 등록

- 키보드 입력을 후킹

- 외부 제 3의 시스템으로 접속 시도

2. 악성코드 감염 시스템 (5/5)

14

3. 윈도우 시스템 복구

15

3. 윈도우 시스템 복구 (1/2)

1. 윈도우 시스템 복원 기능

윈도우 ME, 2000, XP, 2003에 포함된 시스템 복원 기능 활용

- 기본 설정으로 시스템 복원 기능 활성화

- 특정 일자 또는 “마지막 시스템 검사점” 으로 복원 가능

[윈도우 시스템 복원 기능] [윈도우 시스템 복원 기능]

16

2. 윈도우 시스템 백업 및 복원 기능

윈도우 2000, XP, 2003에 포함된 시스템 백업 기능 활용

- 사용자 설정에 따른 백업 기능 활성화

- 사용자 설정에 따라 백업 데이터 지정 가능

- 스케줄링에 의한 자동화된 백업 기능 활성화 가능

[윈도우 시스템 백업 기능] [윈도우 시스템 백업 기능]

3. 윈도우 시스템 복구 (2/2)

17

감사합니다

Q&A