분류 전체보기 (284) 썸네일형 리스트형 악성코드 공격 -5 (비밀폴더 변형 + Registry Guard Service) 1. 증상 특정 DLL ,EXE 파일들이 사라지고 DLL 로드 시 에러가 발생(파일이 없다는 내용이 아닌 열 수 없다는 에러 내용) 해당 파일을 넣으려고하면 '폴더가 비어있습니다' 라는 에러 (공격4와 동일)인데 기존 대응방식으로 해결이 안되는 증상 발견 2021.05.25 - [일기장/악성코드] - 악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터) 2. 원인&공격 방식 분석 - 공격 방식은 같되 미니필터명을 랜덤으로 (예 : L62ca2xxzf4oyVF7) 변경 - (1주 뒤 추가) MS에서 제공하는 인증서를 입혀서 정상적인 파일로 둔갑 - (1주 뒤 추가) hfFilter.sys 파일 이름도 난수로 변경 - (2주 뒤 추가)악성 필터 서비스 레지스터를 삭제하지 못.. 악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터) 1. 증상 특정 DLL ,EXE 파일들이 사라지고 DLL 로드 시 에러가 발생(파일이 없다는 내용이 아닌 열 수 없다는 에러 내용) 해당 파일을 넣으려고하면 '폴더가 비어있습니다' 라는 에러 2. 원인&공격 방식 분석 1) dll, exe를 지웠다고 판단해 복사해서 넣어보니 이미 존재한다고 뜨며 덮어쓰기 하면 폴더가 비어있습니다 라는 에러 발생 2) 악성코드 감염 후 재부팅하면 그때부터 파일이 사라짐 3) 감염된 파일명 변경 시 사라지지 않음, 폴더명 변경 시 사라진 파일이 보임 4) 3번으로 인해 특정 경로에 특정 파일을 무언가가 숨기고 있다고 판단 5) 보안 전문 업체에서 의심스러운 드라이브 파일 찾음 6) 해당 드라이브 파일은 oh!soft사의 '비밀폴더' 라는 소프트웨어에서 사용되며 윈도우 로드 .. 악성코드 공격 -3 (인증서 차단 / 신뢰지 않은 게시자) 1,2 차례 공격을 막고 나니 공격을 치료하는 프로그램에 쓰인 인증서를 차단하여 동작하지 못하게 하였다 1. 증상 '시스템 관리자가 이 앱을 차단하였습니다' 2. 원인&공격 방식 분석 배포사측 인증서를 신뢰되지 않은 게시자에 등록하여 해당 인증서로 쓰인 프로그램들이 실행할 수 없게 만듦 3. 해결방법 - 우선 신뢰되지 않은 게시자에서 직접 눌러서 제거도 가능하나 불특정 다수 PC에 일일이 설정할 수 없으므로 해당 정보가 들어있는 레지스터 삭제 procedure UntrustedCertificates; const //신뢰할 수 없는 인증서 레지스터 경로 Key = '\SOFTWARE\Policies\Microsoft\SystemCertificates\Disallowed\Certificates'; FP1 =.. 랜섬웨어의 무차별 공습…"돈 달라" 협상에 덜컥 응했다간 국내 랜섬웨어 피해신고 3년 새 4배 폭증 과기정통부, 랜섬웨어 대응 지원반 가동 "금전요구 협상 응하지 말고 침해신고" https://news.mt.co.kr/mtview.php?no=2021051813572043501&outlink=1&ref=%3A%2F%2F 랜섬웨어의 무차별 공습…"돈 달라" 협상에 덜컥 응했다간 - 머니투데이 국내 랜섬웨어 피해신고 3년 새 4배 폭증과기정통부, 랜섬웨어 대응 지원반 가동"금전요구 협상 응하지 말고 침해신고"과학기술정보통신부가 최근 국내... news.mt.co.kr 악성코드 공격 -2 (SRP - 소프트웨어 제한 정책) 1. 증상 DLL 로드시 '응용 프로그램을 제대로 시작하지 못했습니다. 응용프로그램을 닫으시려면 [확인]을 클릭하십시오' 등의 OS마다 조금씩 다른 에러 내용으로 프로그램 강제 종료 2. 원인&공격 방식 분석 기본적으로 위와같이 로컬 보안정책에 설정되는 값인데 윈도우 home의 경우 로컬보안정책 조차 설치되어있지 않아 추가 설치를 해야 한다 공격자의 경우 이 설정값이 레지스터에 등록되는것을 파악하여 바로 레지스터에 값을 등록하는형식으로 공격하였다 3. 해결방법 regedit를 실행해보면 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\path 이 경로에 uuid로 보이는 폴더가 있고 그 경로마다 하나씩의 프로그램.. 악성코드 공격 -1 (윈도우 방화벽 설정) 처음 당했던 공격은 상당히 단순했지만 3개의 공격 방식을 동시에 당했고 전혀 준비되어있지 않던 상황이라 어떻게 배포되었는지 파악할 수 없었고 증상 확인과 해결만 하였습니다 1. 증상 - exe 프로그램 실행 안됨(일부 PC는 Windows Defender에서 에러 표시), DLL파일은 로드 가능하나 특정 통신 불가로 정상적인 동작 못함 2. 원인&공격 방식 분석 단순히 앤드 유저의 PC에서 사용될 exe파일이나 특정 통신 포트를 차단하는 공격 방식 위 사진과 같이 인바운드, 아웃바운드 규칙에 특정 프로그램을 아예 사용하지 못하게 하거나 특정 프로그램(exe or dll) 등에서 사용하는 통신 포트를 차단 규칙으로 넣음 3. 해결방법 - 증상 해결을 위한 별도의 exe파일을 제작하여 고객사에 배포하여 모든.. 악성코드와 한판 붙은 썰 -4 (끝) 이전 글 2021.05.10 - [일기장/개발자 일기] - 악성코드와 한판 붙은 썰 -3 여느 날처럼 출근하여 밤새 자동 수집된 로그를 분석하며 특이점은 없는지 신규 악성코드는 없는지 살피고 있던 중 개발이사님이 밝은 표정으로 오시면서 '현 시간부로 압수수색 시작했단다!!!' 사실 경찰한테도 큰 기대를 하고 있지 않았다 정확히 누구다 라고 지목할 명백한 정보가 없었고 이 상황을 이해한들 어떻게 추적할 것인가 때문이었는데 TV에서만 보던 압.수.수.색 이라니.. (회사가 압수수색 당해본 지인 피셜로는 경찰이 와서 갑자기 다 하던 거 멈추고 일어서서 나가라고 한다고...) 바로 증거 노트북이 수집되었고 범죄자는 그대로 잡혀가서 취조에 자백하였다 다만 최초 잡아 간 후 몇십 시간만 데리고 있을 수 있어서 모든.. 악성코드와 한판 붙은 썰 -3 이전 글 2021.05.06 - [일기장/개발자 일기] - 악성코드와 한판 붙은 썰 -2 악성코드와 한판 붙은 썰 -2 이전 글 2021.05.06 - [일기장/개발자 일기] - 악성코드와 한판 붙은 썰 -1 악성코드와 한판 붙은 썰 -1 현 직장에서 작년 실제 겪은 일입니다 특정 기업명은 공개하지 않습니다 우리 회사는 작년 여름 singo112ok.tistory.com 옆팀 과장님까지도 얼떨결에 합류하여 악성코드 분석을 진행하였고 악성코드 최초 설치 파일을 찾아내었는데 경쟁사의 프로그램 설치 파일이었다 이렇게 대놓고 자기들 설치 프로그램으로 경쟁사를 공격하는 악성코드를 넣어 배포할 일도 없고 인증서 서명도 안되어있는 점이 누군가 경쟁사 쪽으로 의심을 돌리려고 해 놓은 거로 보였고 여기서 괜히 섣불리 신.. 이전 1 ··· 22 23 24 25 26 27 28 ··· 36 다음
