1. 증상
주기적으로 특정 경로에 DLL파일과 exe파일 삭제 , 프로세스 킬
2. 원인&공격 방식 분석
*악성코드 설치 파일을 우선적으로 획득하여 분석하였습니다 증상부터 확인 후 추측은 매우매우매우 힘들어 보입니다
1) 악성코드(exe)파일 실행 시 악성 작업스케줄러(xml) 2개와 커맨더(exe) 3개 악성 행위 파일(bat) 2개를 꺼낸 뒤 자기 자신은 삭제함
2) 특정 일자,시간이 되면 스케줄러가 랜덤 파일명의 커맨더(윈도우 cmd와 동일)를 통해 아규먼트로 악성bat1 실행
3) bat를 메모장으로 열어보면 랜덤명의 커맨더 (NirCmd.exe : NirSoft사에서 무료로 제공하는 커맨더인데 관리자 권한 획득, 숨김 실행 기능이 있어서 악성코드에 종종쓰임)를 실행
4) 관리자권한을 받고 숨김 기능이 켜진 커맨더가 다시 conhost.exe(실제론 윈도우 cmd와 동일 프로세스에서 안 들키려고 변경한 것으로 추측)를 실행
5) conhost.exe는 실제 악성 행위를 하는 bat 실행
6) bat내에선 특정 일자가 지나면 이 모든 증거가 지워지게 되어있으며 일자 내에선 무한루프로 bat가 돌면서 특정 프로세스를 kill하고 파일을 삭제함
3. 해결방법
스케쥴러에서 규칙을 찾아낸 뒤 치료프로그램이 탐색하여 랜덤명의 파일 실행 탐색, 경로 추적하여 bat파일 제거
4. 기타
cmd.exe를 conhost.exe로 바꾸는 섬세함이라던가 NirCmd라는 걸 응용해서 악성으로 쓰는 점에 놀랐으며
무엇보다 이 복잡한 절차와 일정 기간이후 증거 제거 기능으로 만약 악성코드 설치 파일을
먼저 획득하여 선조치 하지 못했다면 대응이 거의 불가능했을 것으로 예상된다
'일기장 > 악성코드' 카테고리의 다른 글
악성코드 공격 -8 (작업 스케줄러 숨기기+ rundll32 방식) (0) | 2021.06.10 |
---|---|
악성코드 공격 -6 (작업 스케줄러, VB스크립트+bat) (0) | 2021.05.31 |
악성코드 공격 -5 (비밀폴더 변형 + Registry Guard Service) (0) | 2021.05.26 |
악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터) (0) | 2021.05.25 |
악성코드 공격 -3 (인증서 차단 / 신뢰지 않은 게시자) (0) | 2021.05.20 |