1

제목쓰는 공간

2006. 4. 7

㈜ 안철수연구소

AhnLab CBI Renewal Project

(서체-HY헤드라인M 30pt)

(서체-Arial Bold 15pt)

(서체-HY헤드라인M 13pt)

AhnReport를 이용한 악성코드 대응2007.03.07

㈜ 안철수연구소

AhnLab Security E-response Center

Anti-Virus Researcher, CISSP 장 영 준

2

목 차 1. 악성코드 특성

3. AhnReport의 사용법

2. AhnReport의 이해

4. AhnReport 로그 분석

3

1. 악성코드 특성

4

윈도우 폴더(C:\Windows) 또는 시스템 폴더(C:\Windows\System32) 에 복사본 생성

레지스트리 생성

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT

\CurrentVersion\Winlogon "Shell“ 에 추가

- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

"load“ 에 생성

1. 복사본 생성

2. 자동 실행 (1)

1. 악성코드 특성

5

1. 악성코드 특성

윈도우 서비스 등록

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

시작 프로그램 폴더

c:\Documents and Settings\Administrator\시작 메뉴\프로그램\Startup

보안 프로그램 프로세스 강제종료

윈도우 시스템 유틸리티 프로세스 강제종료

레지스트리 수정으로 보안 프로그램의 윈도우 서비스 비활성화

레지스트리 수정으로 윈도우 보안센터 비활성화

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

하위 키에 존재하는 백신, 방화벽, 윈도우 업데이트 서비스 관련 키 설정 변경

2. 자동 실행 (2)

3. 보안 프로그램 무력화 (1)

6

레지스트리 수정으로 윈도우 방화벽 우회

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess

\Parameters\FirewallPolicy\

하위 키로 자신의 프로세스명을 등록

레지스트리 수정으로 윈도우 시스템 유틸리티 실행 불가

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

하위키에 "DisableCMD“와 "DisableRegistryTools“ 키 생성

파일 속성을 “숨김”과 “시스템 파일”로 설정

윈도우 폴더 옵션 설정 변경

- “숨김 파일 및 폴더 표시 안 함” 로 변경

“알려진 파일 형식의 파일 확장명 숨기기” 로 변경

- “보호된 운영 체제 파일 숨기기” 로 변경

3. 보안 프로그램 무력화 (2)

4. 파일 은폐

1. 악성코드 특성

7

특정 TCP 또는 UDP 포트를 이용

인터넷 익스플로러의 스레드(Thread) 또는 핸들(Handle)로 인젝션 후 이용

익스플로러 (explorer.exe)의 스레드로 인젝션 후 이용

특정 프로세스의 스레드로 인젝션 후 이용

파일 명칭이 윈도우 시스템 파일과 유사

정상 프로그램의 파일 명칭과 유사

정상 파일 명칭과 동일하나 파일 위치가 다른 경로에 존재

파일의 등록정보 미존재

5. 네트워크 연결

6. 사회 공학 기법 사용

7. 파일의 실행 압축 또는 암호화

파일이 정상적인 컴파일 상태가 아닌 특정 패커(Packer)로 파일을 실행 압축

또는 특정 크립터(Crypter)로 파일 자체를 암호화 함.

1. 악성코드 특성

8

2. AhnReport의 이해

9

• 예전

- V3를 설치한 시스템에서 발생하는 오류 분석

• 최근

- 악성코드에 감염된 것으로 의심되는 시스템에서 의심 파일을 수집하기

위한 용도로 분석

1. 안레포트(AhnReport)

2. AhnReport의 이해

2. 안레포트(AhnReport) 버전

- 현재 가장 최신의 안레포트(AhnReport)는 6.1.7.25 버전

10

- 악성코드의 기본적인 특성 인지

- 윈도우 시스템에 대한 기본적인 이해

- 안레포트(AhnReport) 분석으로 감염 확인이 어려운 악성코드도 존재

은폐형 악성코드, 워드 또는 엑셀 매크로 바이러스, 스크립트 바이러스

3. 안레포트(AhnReport) 참고 사항

2. AhnReport의 이해

• 안레포트(AhnReport) 분석 대상 시스템

- 내부 네트워크에 과다 트래픽을 생성하는 시스템

- 주기적인 네트워크 트래픽 발생 시스템

- 시스템의 급격하게 느려지거나 비정상적인 이상 증상 발생

- 기타 시스템에서 알 수 없는 오류가 발생하는 경우

11

3. AhnReport의 사용법

12

• 시스템 확인

- 네트워크 내에서 감염이 의심되는 시스템을 확보

- 해당 시스템을 네트워크로부터 단절 후 일반 사용자의 사용 제한

- 시스템에서 실행 중인 모든 프로그램 종료

• 시스템 조사

- 안티 바이러스 및 안티 스파이웨어 프로그램이 최신 엔진이 적용되어 있는지 확인

- 시스템을 안전모드로 부팅한 후 안티 바이러스 및 안티 스파이웨어 프로그램으로 시스템

전체를 검사

- 시스템을 정상 윈도우 모드로 부팅 후에도 동일한 이상 증상이 발생하는지 확인

- 동일한 이상 증상이 재발할 경우 다양한 시스템 모니터링 도구와 AhnReport로

시스템 분석

1. 안레포트(AhnReport) 실행 전

3. AhnReport의 사용법

13

- 감염으로 의심되는 시스템에서 안레포트(AhnReport)를 실행

- Save 버튼을 클릭하여 로그 생성 및 저장

2. 안레포트(AhnReport) 실행

[안레포트 최초 실행정보] [안레포트 저장]

3. AhnReport의 사용법

14

- 안레포트를 전송에 필요한 기본 정보 입력

- 안레포트를 저장할 위치 선택하여 ZIP 파일로 압축하여 저장

3. 안레포트(AhnReport) 저장

[기본 정보 입력] [저장할 위치 선택]

3. AhnReport의 사용법

15

- 로그 생성 및 저장 진행

- 로그 생성 및 저장이 완료

4. 안레포트(AhnReport) 로그 생성

[저장 진행] [저장 완료]

3. AhnReport의 사용법

16

- 생성된 ZIP 파일의 로그 중 *.arp 확장자의 파일이 시스템 분석에 필요한 로그

- *.arp 파일을 메모장 또는 텍스트 편집기로 실행 후 로그 분석 진행

5. 안레포트(AhnReport) 로그 생성 완료

[생성된 로그 확인] [로그를 메모장을 이용해 실행]

3. AhnReport의 사용법

17

4. AhnReport 로그 분석

18

• 시스템 정보 확인

- 운영체제 정보와 패치 그리고 서비스팩 설치 여부 확인

- 설치되어 있는 V3와 SpyZero 엔진 버전 확인

• 시스템 분석

- 검역소 정보를 확인하여 동일한 악성코드의 재감염 증상이 있는지 확인

- 실행 중인 프로세스 중 의심스러운 파일이 있는지 확인

잘못된 파일명, 잘못된 경로에 존재하는 파일, 사용자 계정으로 실행되는 파일

등록 정보가 없는 파일

- 시작 프로그램에 등록되어 있는 파일 중 의심스러운 파일이 있는지 확인

HKLM/~/Run, HKCU/~/Run, Shell, WinLogon 에 등록된 잘못된 파일

- 네트워크 포트를 오픈하여 외부로 통신하는 의심스러운 파일이 있는지 확인

다수의 포트를 오픈, 외부 네트워크로 접속하는 파일

1. 안레포트(AhnReport) 로그 분석

4. AhnReport 로그 분석

19

- 운영 체제와 패치 정보, V3와 SpyZero의 엔진 버전 확인

- 검역소에 보관 중인 파일 확인

4. AhnReport 로그 분석

2. 시스템 정보 확인

[운영 체제와 엔진 정보] [검역소 확인]

20

- 실행 중인 프로세스 중 잘못된 파일명, 경로가 잘못된 파일이 있는지 확인

- 사용자 계정의 권한으로 실행 중인 파일 중 파일 등록 정보가 없는 프로세스가 있는지 확인

3. 실행 중인 프로세스 분석

[실행 중인 프로세스] [권한과 등록정보]

4. AhnReport 로그 분석

21

4. 시작 프로그램 분석

[시작 프로그램 확인]

4. AhnReport 로그 분석

- RegRun(Machine)

HKLM/~/Run에 등록된 파일

- RegRun(사용자 계정명)

HKCU/~/Run에 등록된 파일

- Shell(Machine)

기본 값으로 Explorer.exe만

등록되어 있음

- WinLogon(User)

기본 값으로 userinit.exe만

등록되어 있음

22

- 다수의 네트워크 포트를 오픈하는 파일

- 외부 네트워크로 접속을 시도하는 파일

5. 네트워크 분석

[네트워크 확인]

4. AhnReport 로그 분석

23

감사합니다

Q&A