1. 증상
특정 DLL ,EXE 파일들이 사라지고 DLL 로드 시 에러가 발생(파일이 없다는 내용이 아닌 열 수 없다는 에러 내용)
해당 파일을 넣으려고하면 '폴더가 비어있습니다' 라는 에러 (공격4와 동일)인데 기존 대응방식으로 해결이 안되는 증상 발견
2021.05.25 - [일기장/악성코드] - 악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터)
2. 원인&공격 방식 분석
- 공격 방식은 같되 미니필터명을 랜덤으로 (예 : L62ca2xxzf4oyVF7) 변경
- (1주 뒤 추가) MS에서 제공하는 인증서를 입혀서 정상적인 파일로 둔갑
- (1주 뒤 추가) hfFilter.sys 파일 이름도 난수로 변경
- (2주 뒤 추가)악성 필터 서비스 레지스터를 삭제하지 못하도록 novirusthanks 회사의 registry-guard-service 프로그램 사용 (https://www.novirusthanks.org/products/registry-guard-service/)
3. 해결방법
1. 필터명 랜덤 변형 공격 : 서비스 쪽 레지스트리를 탐색하며 ImagePath가 있는 경우 데이터가 system32\drivers\hffilter.sys 인 것을 찾아서 레지스터 삭제, 해당 파일 인증서 없으면 삭제
2. MS인증서+hfFilter.sys파일명 변경 : 파일 용량과 원본 파일 이름을 확인하여 삭제
3. egistry-guard-service 프로그램 사용 : 당시 악성프로그램이 설치되는 설치 파일을 획득하여 최초 명령을 하는 bat파일을 분석하여 regGuardSvc라는 걸 쓴다고 인지함 RegGuard.sys 서비스 중지 + 레지스터 삭제
(레지스터 탐색, 삭제 방법은 이전 포스트 참조)
2021.05.18 - [일기장/악성코드] - 악성코드 공격 -2 (SRP - 소프트웨어 제한 정책)
4. 기타
상대도 우리의 대응이 나올 때마다 상당한 테스트를 진행하여 우리가 악성코드를 검사하는 로직을 다 추측해내서 우회하여 매주 공격하였다
추가로 악성코드나 바이러스가 중요 레지스터를 삭제하지 못하게 하기 위해 만든 프로그램을 악용해서 악성코드가 안 지워지게 한 것은 정말 기가 막혔다
'일기장 > 악성코드' 카테고리의 다른 글
| 악성코드 공격 -7 (작업스케줄러 + NirCmd.exe, conhost.exe) (2) | 2021.06.04 |
|---|---|
| 악성코드 공격 -6 (작업 스케줄러, VB스크립트+bat) (0) | 2021.05.31 |
| 악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터) (0) | 2021.05.25 |
| 악성코드 공격 -3 (인증서 차단 / 신뢰지 않은 게시자) (0) | 2021.05.20 |
| 악성코드 공격 -2 (SRP - 소프트웨어 제한 정책) (0) | 2021.05.18 |
