악성코드 공격 (2) 썸네일형 리스트형 악성코드 공격 -2 (SRP - 소프트웨어 제한 정책) 1. 증상 DLL 로드시 '응용 프로그램을 제대로 시작하지 못했습니다. 응용프로그램을 닫으시려면 [확인]을 클릭하십시오' 등의 OS마다 조금씩 다른 에러 내용으로 프로그램 강제 종료 2. 원인&공격 방식 분석 기본적으로 위와같이 로컬 보안정책에 설정되는 값인데 윈도우 home의 경우 로컬보안정책 조차 설치되어있지 않아 추가 설치를 해야 한다 공격자의 경우 이 설정값이 레지스터에 등록되는것을 파악하여 바로 레지스터에 값을 등록하는형식으로 공격하였다 3. 해결방법 regedit를 실행해보면 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\path 이 경로에 uuid로 보이는 폴더가 있고 그 경로마다 하나씩의 프로그램.. 악성코드 공격 -1 (윈도우 방화벽 설정) 처음 당했던 공격은 상당히 단순했지만 3개의 공격 방식을 동시에 당했고 전혀 준비되어있지 않던 상황이라 어떻게 배포되었는지 파악할 수 없었고 증상 확인과 해결만 하였습니다 1. 증상 - exe 프로그램 실행 안됨(일부 PC는 Windows Defender에서 에러 표시), DLL파일은 로드 가능하나 특정 통신 불가로 정상적인 동작 못함 2. 원인&공격 방식 분석 단순히 앤드 유저의 PC에서 사용될 exe파일이나 특정 통신 포트를 차단하는 공격 방식 위 사진과 같이 인바운드, 아웃바운드 규칙에 특정 프로그램을 아예 사용하지 못하게 하거나 특정 프로그램(exe or dll) 등에서 사용하는 통신 포트를 차단 규칙으로 넣음 3. 해결방법 - 증상 해결을 위한 별도의 exe파일을 제작하여 고객사에 배포하여 모든.. 이전 1 다음
