본문 바로가기

분류 전체보기

(265)
악성코드 공격 -8 (작업 스케줄러 숨기기+ rundll32 방식) 1. 증상 윈도우 작업스케줄러에 악성코드가 삽입되어 주기적으로 실행 2. 원인&공격 방식 분석 악성코드 7에서 달라진점은 스케쥴러를 기존엔 새로 만들었었는데 윈도우에 원래 존재하는 스케쥴러를 수정해서 감염시키는 방식 + cmd.exe가 배치를 실행시키는 것이 아니라 rundll32를 이용하여 dll파일 내 함수를 호출하여 배치를 실행하도록 변경 악성 스케줄러를 기존에 윈도우에 존재하는 스케쥴러를 수정하여 사용 스크린샷 3. 해결방법 모든 작업스케줄러를 읽어와서 랜덤명의 DLL파일을 rundll32로 실행하는 것 추적 후 dll삭제 4. 기타 이 악성코드는 정확히는 우리를 공격했지만 실제론 윈도우도 공격하여 일반 유저들도 피해대상이라고 볼 수 있다 리소스를 많이 먹진 않지만 무한루프 돌면서 리소스 낭비에 ..
엔비디아 젠슨 황 “개인용 그래픽카드, 채굴 시장에서 분리하겠다” 슨 황 엔비디아 CEO는 2일 글로벌 기자간담회에서 최근 신제품에 적용된 해시 레이트 저감 기능에 대한 질문에 이러한 뜻을 밝혔다. 채굴 시장의 수요는 자사의 채굴 전용 GPU로 유도한다. 동시에, 새롭게 출시하는 그래픽카드의 해시 레이트(hash rate, 채굴효율)는 강제로 낮춤으로써 비정상적인 거래가 이뤄지는 그래픽카드 시장을 바로잡겠다는 것이다. 출처 : http://it.chosun.com/site/data/html_dir/2021/06/03/2021060300412.html 엔비디아 젠슨 황 “개인용 그래픽카드, 채굴 시장에서 분리하겠다” 암호화폐 채굴 시장의 성황으로 채굴에 사용하는 그래픽카드 가격이 천정부지로 치솟고 있다. 이에 대한 해법으로 엔비디아가 일반 그래픽카드 시장과 .. it.c..
악성코드 공격 -7 (작업스케줄러 + NirCmd.exe, conhost.exe) 1. 증상 주기적으로 특정 경로에 DLL파일과 exe파일 삭제 , 프로세스 킬 2. 원인&공격 방식 분석 *악성코드 설치 파일을 우선적으로 획득하여 분석하였습니다 증상부터 확인 후 추측은 매우매우매우 힘들어 보입니다 1) 악성코드(exe)파일 실행 시 악성 작업스케줄러(xml) 2개와 커맨더(exe) 3개 악성 행위 파일(bat) 2개를 꺼낸 뒤 자기 자신은 삭제함 2) 특정 일자,시간이 되면 스케줄러가 랜덤 파일명의 커맨더(윈도우 cmd와 동일)를 통해 아규먼트로 악성bat1 실행 3) bat를 메모장으로 열어보면 랜덤명의 커맨더 (NirCmd.exe : NirSoft사에서 무료로 제공하는 커맨더인데 관리자 권한 획득, 숨김 실행 기능이 있어서 악성코드에 종종쓰임)를 실행 4) 관리자권한을 받고 숨김 ..
델파이 폼에서 파일 드래그앤드롭 / delphi Drag and Drop 요즘 이메일 보낼때나 구글 드라이브를 사용하여 웹 브라우저에서 파일을 업로드 할 때 파일을 간단히 끌어서 놓기만 하면 첨부가 된다 이와 같은 기능을 델파이 윈도우 폼에서 구현해보자 한다 메인폼 화면에서 파일을 해당 폼에 끌어놓으면 에디터에 경로가 찍히게 만들어보려고 한다 1. 메인 폼에서 OnCreate 이벤트에 DragAcceptFiles(Handle, True); OnClose 이벤트에 DragAcceptFiles(Handle, False); 를 각각 추가하여 드래그 허용을 해준다 (이 허용을 하고 실행시 파일을 끌어서 폼 위에 올리면 마우스포인터에 +모양이 추가로 보인다) procedure TfrmMain.FormClose(Sender: TObject; var Action: TCloseAction)..
악성코드 공격 -6 (작업 스케줄러, VB스크립트+bat) 1. 증상 - 증상 발생 전 우선 대응하여 겪은 증상은 없었으나 동작 방식은 특정 프로세스킬, 특정 파일 삭제 2. 원인&공격 방식 분석 1) 특정시간대에 (금요일 저녁, 토요일) 반복적으로 악성코드들이 동작함 2) 윈도우 작업 스케줄러에 등록돼서 동작하는 것을 의심 3) 보안업체에서 악성코드 설치 프로그램을 복원해냄 4) 열어보니 작업 스케줄러 등록용 xml파일과 이를 동작하는 bat파일 존재 5) bat는 xml을 작업스케줄러에 등록시키고 최초 설치 exe파일, bat파일, xml 모두 제거함 6) 해당 작업스케줄러는 vbs파일을 특정 시간에 실행함 (금요일 저녁, 주말 ㅡ.ㅡ) 7) 그리고 vbs파일은 특정경로에 .bat파일을 실행하는데 그 bat 내용은 특정 프로세스를 kill 하고 특정 파일을 ..
악성코드 공격 -5 (비밀폴더 변형 + Registry Guard Service) 1. 증상 특정 DLL ,EXE 파일들이 사라지고 DLL 로드 시 에러가 발생(파일이 없다는 내용이 아닌 열 수 없다는 에러 내용) 해당 파일을 넣으려고하면 '폴더가 비어있습니다' 라는 에러 (공격4와 동일)인데 기존 대응방식으로 해결이 안되는 증상 발견 2021.05.25 - [일기장/악성코드] - 악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터) 2. 원인&공격 방식 분석 - 공격 방식은 같되 미니필터명을 랜덤으로 (예 : L62ca2xxzf4oyVF7) 변경 - (1주 뒤 추가) MS에서 제공하는 인증서를 입혀서 정상적인 파일로 둔갑 - (1주 뒤 추가) hfFilter.sys 파일 이름도 난수로 변경 - (2주 뒤 추가)악성 필터 서비스 레지스터를 삭제하지 못..
악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터) 1. 증상 특정 DLL ,EXE 파일들이 사라지고 DLL 로드 시 에러가 발생(파일이 없다는 내용이 아닌 열 수 없다는 에러 내용) 해당 파일을 넣으려고하면 '폴더가 비어있습니다' 라는 에러 2. 원인&공격 방식 분석 1) dll, exe를 지웠다고 판단해 복사해서 넣어보니 이미 존재한다고 뜨며 덮어쓰기 하면 폴더가 비어있습니다 라는 에러 발생 2) 악성코드 감염 후 재부팅하면 그때부터 파일이 사라짐 3) 감염된 파일명 변경 시 사라지지 않음, 폴더명 변경 시 사라진 파일이 보임 4) 3번으로 인해 특정 경로에 특정 파일을 무언가가 숨기고 있다고 판단 5) 보안 전문 업체에서 의심스러운 드라이브 파일 찾음 6) 해당 드라이브 파일은 oh!soft사의 '비밀폴더' 라는 소프트웨어에서 사용되며 윈도우 로드 ..
악성코드 공격 -3 (인증서 차단 / 신뢰지 않은 게시자) 1,2 차례 공격을 막고 나니 공격을 치료하는 프로그램에 쓰인 인증서를 차단하여 동작하지 못하게 하였다 1. 증상 '시스템 관리자가 이 앱을 차단하였습니다' 2. 원인&공격 방식 분석 배포사측 인증서를 신뢰되지 않은 게시자에 등록하여 해당 인증서로 쓰인 프로그램들이 실행할 수 없게 만듦 3. 해결방법 - 우선 신뢰되지 않은 게시자에서 직접 눌러서 제거도 가능하나 불특정 다수 PC에 일일이 설정할 수 없으므로 해당 정보가 들어있는 레지스터 삭제 procedure UntrustedCertificates; const //신뢰할 수 없는 인증서 레지스터 경로 Key = '\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\Certificates'; FP1 =..