본문 바로가기

일기장/악성코드

악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터)

728x90

1. 증상

특정 DLL ,EXE 파일들이 사라지고 DLL 로드 시 에러가 발생(파일이 없다는 내용이 아닌 열 수 없다는 에러 내용)
해당 파일을 넣으려고하면 '폴더가 비어있습니다' 라는 에러

2. 원인&공격 방식 분석

 1) dll, exe를 지웠다고 판단해 복사해서 넣어보니 이미 존재한다고 뜨며 덮어쓰기 하면 폴더가 비어있습니다 라는 에러 발생
 2) 악성코드 감염 후 재부팅하면 그때부터 파일이 사라짐
 3) 감염된 파일명 변경 시 사라지지 않음, 폴더명 변경 시 사라진 파일이 보임
 4) 3번으로 인해 특정 경로에 특정 파일을 무언가가 숨기고 있다고 판단
 5) 보안 전문 업체에서 의심스러운 드라이브 파일 찾음
 6) 해당 드라이브 파일은 oh!soft사의 '비밀폴더' 라는 소프트웨어에서 사용되며 윈도우 로드 시 같이 로드되는 미니필터로 특정 파일들을 '비밀폴더'라는 프로그램을 통해 숨기고 보여주는 기능을 가지고 있었음
 7) 그리고 숨길 파일목록은 "C:\Windows\HFIT.hff"에 암호화하여 보관 중이었음
 8) cmd창에서 fltmc 명령어를 쳐 보면 자신에게 로드된 필터들이 표시되는데 해당 hfFilter 존재
 9) 해당 레지스터 삭제 -> 필터 서비스 종료 -> 서비스 삭제 -> 재부팅 후 정상적으로 파일 보이는 것 확인

 

3. 해결방법

hfFilter.sys 파일을 우선 찾고 레지스터 서비스 목록에서 ImagePath가 찾은 파일 위치의 hfFilter.sys과 동일한지 검사
동일하면 레지스터 삭제 -> 해당 서비스 사용 안 함 -> 삭제 -> 중단 (중단이 불가능하므로 삭제부터 하고 중단을 해야 함)

레지스터 서비스 목록 경로 : \SYSTEM\CurrentControlSet\Services\

 

var
    sTemp : String;
    subReg: TRegistry;
    
begin
중략....
	sTemp := subReg.GetDataAsString('ImagePath'); //이미지패스명 획득
end

 

*레지스터와 서비스 탐색 델파이 코드는 생략합니다 앞서 포스팅했던 악성코드 공격 2,3 참고

 

4. 기타

해당 악성코드는 C:\Windows\HFIT.hff경로에 파일뿐만 아니라 폴더 경로도 들어있다
기존 oh!soft사의 비밀폴더 기능은 폴더 선택이 불가능하므로 HFIT.hff 파일 생성 암호화 규칙을 뚫었거나 
hfFilter.sys의 api사용법을 뚫었거나 재직자 혹은 퇴사자의 유출된 소스를 사용했거나 돈을 주고 오소프트 코드를 구매하였거나 4가지 경우 중 하나일 것이다

*해당 프로그램 자체가 악성프로그램은 아닙니다 해커가 악용했을뿐입니다


728x90