전체 글 (263) 썸네일형 리스트형 악성코드 공격 -7 (작업스케줄러 + NirCmd.exe, conhost.exe) 1. 증상 주기적으로 특정 경로에 DLL파일과 exe파일 삭제 , 프로세스 킬 2. 원인&공격 방식 분석 *악성코드 설치 파일을 우선적으로 획득하여 분석하였습니다 증상부터 확인 후 추측은 매우매우매우 힘들어 보입니다 1) 악성코드(exe)파일 실행 시 악성 작업스케줄러(xml) 2개와 커맨더(exe) 3개 악성 행위 파일(bat) 2개를 꺼낸 뒤 자기 자신은 삭제함 2) 특정 일자,시간이 되면 스케줄러가 랜덤 파일명의 커맨더(윈도우 cmd와 동일)를 통해 아규먼트로 악성bat1 실행 3) bat를 메모장으로 열어보면 랜덤명의 커맨더 (NirCmd.exe : NirSoft사에서 무료로 제공하는 커맨더인데 관리자 권한 획득, 숨김 실행 기능이 있어서 악성코드에 종종쓰임)를 실행 4) 관리자권한을 받고 숨김 .. 델파이 폼에서 파일 드래그앤드롭 / delphi Drag and Drop 요즘 이메일 보낼때나 구글 드라이브를 사용하여 웹 브라우저에서 파일을 업로드 할 때 파일을 간단히 끌어서 놓기만 하면 첨부가 된다 이와 같은 기능을 델파이 윈도우 폼에서 구현해보자 한다 메인폼 화면에서 파일을 해당 폼에 끌어놓으면 에디터에 경로가 찍히게 만들어보려고 한다 1. 메인 폼에서 OnCreate 이벤트에 DragAcceptFiles(Handle, True); OnClose 이벤트에 DragAcceptFiles(Handle, False); 를 각각 추가하여 드래그 허용을 해준다 (이 허용을 하고 실행시 파일을 끌어서 폼 위에 올리면 마우스포인터에 +모양이 추가로 보인다) procedure TfrmMain.FormClose(Sender: TObject; var Action: TCloseAction).. 악성코드 공격 -6 (작업 스케줄러, VB스크립트+bat) 1. 증상 - 증상 발생 전 우선 대응하여 겪은 증상은 없었으나 동작 방식은 특정 프로세스킬, 특정 파일 삭제 2. 원인&공격 방식 분석 1) 특정시간대에 (금요일 저녁, 토요일) 반복적으로 악성코드들이 동작함 2) 윈도우 작업 스케줄러에 등록돼서 동작하는 것을 의심 3) 보안업체에서 악성코드 설치 프로그램을 복원해냄 4) 열어보니 작업 스케줄러 등록용 xml파일과 이를 동작하는 bat파일 존재 5) bat는 xml을 작업스케줄러에 등록시키고 최초 설치 exe파일, bat파일, xml 모두 제거함 6) 해당 작업스케줄러는 vbs파일을 특정 시간에 실행함 (금요일 저녁, 주말 ㅡ.ㅡ) 7) 그리고 vbs파일은 특정경로에 .bat파일을 실행하는데 그 bat 내용은 특정 프로세스를 kill 하고 특정 파일을 .. 악성코드 공격 -5 (비밀폴더 변형 + Registry Guard Service) 1. 증상 특정 DLL ,EXE 파일들이 사라지고 DLL 로드 시 에러가 발생(파일이 없다는 내용이 아닌 열 수 없다는 에러 내용) 해당 파일을 넣으려고하면 '폴더가 비어있습니다' 라는 에러 (공격4와 동일)인데 기존 대응방식으로 해결이 안되는 증상 발견 2021.05.25 - [일기장/악성코드] - 악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터) 2. 원인&공격 방식 분석 - 공격 방식은 같되 미니필터명을 랜덤으로 (예 : L62ca2xxzf4oyVF7) 변경 - (1주 뒤 추가) MS에서 제공하는 인증서를 입혀서 정상적인 파일로 둔갑 - (1주 뒤 추가) hfFilter.sys 파일 이름도 난수로 변경 - (2주 뒤 추가)악성 필터 서비스 레지스터를 삭제하지 못.. 악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터) 1. 증상 특정 DLL ,EXE 파일들이 사라지고 DLL 로드 시 에러가 발생(파일이 없다는 내용이 아닌 열 수 없다는 에러 내용) 해당 파일을 넣으려고하면 '폴더가 비어있습니다' 라는 에러 2. 원인&공격 방식 분석 1) dll, exe를 지웠다고 판단해 복사해서 넣어보니 이미 존재한다고 뜨며 덮어쓰기 하면 폴더가 비어있습니다 라는 에러 발생 2) 악성코드 감염 후 재부팅하면 그때부터 파일이 사라짐 3) 감염된 파일명 변경 시 사라지지 않음, 폴더명 변경 시 사라진 파일이 보임 4) 3번으로 인해 특정 경로에 특정 파일을 무언가가 숨기고 있다고 판단 5) 보안 전문 업체에서 의심스러운 드라이브 파일 찾음 6) 해당 드라이브 파일은 oh!soft사의 '비밀폴더' 라는 소프트웨어에서 사용되며 윈도우 로드 .. 악성코드 공격 -3 (인증서 차단 / 신뢰지 않은 게시자) 1,2 차례 공격을 막고 나니 공격을 치료하는 프로그램에 쓰인 인증서를 차단하여 동작하지 못하게 하였다 1. 증상 '시스템 관리자가 이 앱을 차단하였습니다' 2. 원인&공격 방식 분석 배포사측 인증서를 신뢰되지 않은 게시자에 등록하여 해당 인증서로 쓰인 프로그램들이 실행할 수 없게 만듦 3. 해결방법 - 우선 신뢰되지 않은 게시자에서 직접 눌러서 제거도 가능하나 불특정 다수 PC에 일일이 설정할 수 없으므로 해당 정보가 들어있는 레지스터 삭제 procedure UntrustedCertificates; const //신뢰할 수 없는 인증서 레지스터 경로 Key = '\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\Certificates'; FP1 =.. 랜섬웨어의 무차별 공습…"돈 달라" 협상에 덜컥 응했다간 국내 랜섬웨어 피해신고 3년 새 4배 폭증 과기정통부, 랜섬웨어 대응 지원반 가동 "금전요구 협상 응하지 말고 침해신고" https://news.mt.co.kr/mtview.php?no=2021051813572043501&outlink=1&ref=%3A%2F%2F 랜섬웨어의 무차별 공습…"돈 달라" 협상에 덜컥 응했다간 - 머니투데이 국내 랜섬웨어 피해신고 3년 새 4배 폭증과기정통부, 랜섬웨어 대응 지원반 가동"금전요구 협상 응하지 말고 침해신고"과학기술정보통신부가 최근 국내... news.mt.co.kr 악성코드 공격 -2 (SRP - 소프트웨어 제한 정책) 1. 증상 DLL 로드시 '응용 프로그램을 제대로 시작하지 못했습니다. 응용프로그램을 닫으시려면 [확인]을 클릭하십시오' 등의 OS마다 조금씩 다른 에러 내용으로 프로그램 강제 종료 2. 원인&공격 방식 분석 기본적으로 위와같이 로컬 보안정책에 설정되는 값인데 윈도우 home의 경우 로컬보안정책 조차 설치되어있지 않아 추가 설치를 해야 한다 공격자의 경우 이 설정값이 레지스터에 등록되는것을 파악하여 바로 레지스터에 값을 등록하는형식으로 공격하였다 3. 해결방법 regedit를 실행해보면 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\path 이 경로에 uuid로 보이는 폴더가 있고 그 경로마다 하나씩의 프로그램.. 이전 1 ··· 19 20 21 22 23 24 25 ··· 33 다음
