본문 바로가기

일기장/악성코드

악성코드 공격 -7 (작업스케줄러 + NirCmd.exe, conhost.exe)

728x90

1. 증상

주기적으로 특정 경로에 DLL파일과 exe파일 삭제 , 프로세스 킬

 

2. 원인&공격 방식 분석

*악성코드 설치 파일을 우선적으로 획득하여 분석하였습니다 증상부터 확인 후 추측은 매우매우매우 힘들어 보입니다 
1) 악성코드(exe)파일 실행 시 악성 작업스케줄러(xml) 2개와 커맨더(exe) 3개 악성 행위 파일(bat) 2개를 꺼낸 뒤 자기 자신은 삭제함
2) 특정 일자,시간이 되면 스케줄러가 랜덤 파일명의 커맨더(윈도우 cmd와 동일)를 통해 아규먼트로 악성bat1 실행
3) bat를 메모장으로 열어보면 랜덤명의 커맨더 (NirCmd.exe : NirSoft사에서 무료로 제공하는 커맨더인데 관리자 권한 획득, 숨김 실행 기능이 있어서 악성코드에 종종쓰임)를 실행
4) 관리자권한을 받고 숨김 기능이 켜진 커맨더가 다시 conhost.exe(실제론 윈도우 cmd와 동일 프로세스에서 안 들키려고 변경한 것으로 추측)를 실행
5) conhost.exe는 실제 악성 행위를 하는 bat 실행
6) bat내에선 특정 일자가 지나면 이 모든 증거가 지워지게 되어있으며 일자 내에선 무한루프로 bat가 돌면서 특정 프로세스를 kill하고 파일을 삭제함 

 

3. 해결방법

스케쥴러에서 규칙을 찾아낸 뒤 치료프로그램이 탐색하여 랜덤명의 파일 실행 탐색, 경로 추적하여 bat파일 제거

 

4. 기타

cmd.exe를 conhost.exe로 바꾸는 섬세함이라던가 NirCmd라는 걸 응용해서 악성으로 쓰는 점에 놀랐으며
무엇보다 이 복잡한 절차와 일정 기간이후 증거 제거 기능으로 만약 악성코드 설치 파일을 
먼저 획득하여 선조치 하지 못했다면 대응이 거의 불가능했을 것으로 예상된다


 

728x90