본문 바로가기

일기장/악성코드

악성코드 공격 -6 (작업 스케줄러, VB스크립트+bat)

728x90

1. 증상

 - 증상 발생 전 우선 대응하여 겪은 증상은 없었으나 동작 방식은 특정 프로세스킬, 특정 파일 삭제

 

2. 원인&공격 방식 분석

1) 특정시간대에 (금요일 저녁, 토요일) 반복적으로 악성코드들이 동작함
2) 윈도우 작업 스케줄러에 등록돼서 동작하는 것을 의심
3) 보안업체에서 악성코드 설치 프로그램을 복원해냄
4) 열어보니 작업 스케줄러 등록용 xml파일과 이를 동작하는 bat파일 존재
5) bat는 xml을 작업스케줄러에 등록시키고 최초 설치 exe파일, bat파일, xml 모두 제거함
6) 해당 작업스케줄러는 vbs파일을 특정 시간에 실행함 (금요일 저녁, 주말 ㅡ.ㅡ)


7) 그리고 vbs파일은 특정경로에 .bat파일을 실행하는데 그 bat 내용은 특정 프로세스를 kill 하고 특정 파일을 삭제함

 

3. 해결방법

- vbs, bat파일은 c:\Program Files (x86)\WindowsPowerShell 하위 경로에 랜덤으로 생기는 것을 확인
- 해당경로에는 vbs나 bat파일이 원래 존재하지 않음
- 탐색하여 bat파일 삭제, 스케줄러를 지우는 건 리스크가 있다 생각되어 유지시킴

 

4. 기타

스케줄러명이 task1, task2, sch1, sch2 이 4개로 고정이었기에 랜덤 경로라도 더 찾기 쉬웠다


 

728x90