침해사고 대응 및 분석 - 악성코드 제거

1.     문제파악

눈에 보이는 문제는 보이지 않아 “Proess Explorer” 프로그램을 사용하였다.

결과는 다음과 같았다.

“Process Explorer” Tool화면 그림 1‑1을 보면 “C:\WINDOWS\System32” 내부에 있는 “services.exe”가 아닌 단독으로 “services.exe”가 실행되고 있는 것을 확인되었으며 악성 파일로 의심된다.   그림 1‑1  “Process Explorer” 화면

1.1.      Kill Process

“Process Explorer” Tool화면 그림 1‑2 Kill Process 시도하였으나 에러 메시지와 함께 삭제되지 않았다.   그림 1‑2 Kill Process 시도

 

1.2.      DLL File

“Process Explorer” Tool화면 그림 1‑3 “services.exe” 내부 Dll File 을 보면 “Description” 과 “Company Name” 이 적혀있지 않은 “winkey.dll” File 을 볼 수 있다.   그림 1‑3 Dll File 분석

 

 

1.3.      winkey.dll

“Process Explorer” Tool화면 그림 1‑4 “winkey.dll” 파일을 분석한 결과 “Windows title : “%s”, “\ktd32.atm” 이라는 독특한 문자열을 확인하였다.   그림 1‑4 Winkey.dll

 

 

 

 

 

1.4.      ktd.atm

“Everything” Tool화면 그림 1‑5 “Everything” 파일 찾기 프로그램으로 “ktd32.atm” 파일을 찾은 결과 “C:\WINDOWS”에 위치한 것으로 나타났다.   그림 1‑5 Ktd32.atm

 

1.5.      Key logging

“Notepad++” Tool화면 그림 1‑6 “ktd32.atm” 파일의 소스를 보기위해 메모장으로 열어본 결과 키로깅 파일로 나타났다. 즉시 삭제완료.   그림 1‑6 Key Logging

2.     동작분석

 

“Windows 작업관리자” 화면 그림 2‑1. “Windows 작업관리자” 를 통해 실행중인 프로세스 목록은 확인해 본 결과 정상적인 “services.exe” 만 확인될 뿐 악성 파일은 눈에 띄지 않았다.     그림 2‑1 작업관리자

 

 

 

 

 

2.1.      악성파일찾기

“검색 결과” 화면 그림 2‑2 “services.exe” 검색 결과 악성 파일은 나타나지 않았다.     그림 2‑2 검색 결과

 

2.2.      Services.exe 검색

“Everything” Tool 화면 그림 2‑3 “Everything” 프로그램을 이용해 “services.exe” 를 검색한 결과 “C:\WINDOWS” 위치에 악성파일로 추정되는 “services.exe” 파일이 존재하는 것으로 나타났다.     그림 2‑3 Everything 을 이용한 services.exe 검색

2.3.      악성파일 발견

“C:\WINDOWS” 화면 그림 2‑4 “C:\WINDOWS” 내부에 존재하는 것으로 확인되었던 “services.exe” 파일을 찾았으나 보이지 않았다. 폴더 옵션의 보호된 운영체제 파일 숨기기 체크를 해제하자 나타난 것으로 보아 보호된 운영체제로 설정된 것을 확인할 수 있었다.           그림 2‑4 악성 파일 확인.

2.4.      삭제시도

“C:\WINDOWS” 화면 그림 2‑5 발견된 “services.exe” 파일을 삭제 시도 했으나 프로그램 실행중으로 삭제가 불가능 하였다.     그림 2‑5 파일 삭제 시도

 

 

 

2.5.      cmd.exe 를 이용한 Kill 시도

“cmd.exe” 화면 그림 2‑6 “cmd.exe”를 이용해 프로세스 강제종료를 시도했으나 보호된 프로세스로 지정되어있는 악성파일은 강제종료 할 수 없었다. /f : 강제종료,   /t : 자식프로세스까지 종료.   그림 2‑6 cmd.exe 를 이용한 kill 시도

 

 

 

 

 

 

 

2.6.      오류

“cmd.exe” 화면 그림 2‑7 악성프로세스 강제종료를 위해 많은 명령어를 적용시키던 중 정상 프로세스를   강제종료시켜 강제 재부팅, 그리고 툴 사용을 잘못하여 블루스크린이 나타나기도 했다.           그림 2‑7 오류

2.7.      Filemon

“Filemon” Tool 화면 그림 2‑8 정상적인 Process kill은 가능하지 않은 것으로 판단하여 일단 악성 “services.exe” 파일이 어떠한 동작을 하는지 확인하기위해 “File Monitor” 프로그램을 이용해 모니터하였다. 초단위로 “Open”, “Close”, “Create” 등 수많은 작업을 하는것으로 확인되었다.     그림 2‑8 File Monitor

 

 

 

 

 

 

2.8.      services.exe 동작 확인

“Filemon” Tool 화면 그림 2‑9 악성 ”services.exe” 는 “C:\WINDOWS\system”에 위치한 “sservice.exe” 뿐만 아니라 “C:\WINDOWS\system32”에 위치한 “fservice.exe” 파일을 생성하는것으로 나타났다.     그림 2‑9 services.exe 동작확인

 

 

 

 

 

 

 

2.9.      fservice.exe sservice.exe 위치파악

“system32”, “system” 화면 그림 2‑10 “C:\WINDOWS\system”에 위치한 “sservice.exe” 뿐만 아니라  “C:\WINDOWS\system32”에 위치한 “fservice.exe” 파일이 존재하는 것을 확인한 후,  삭제하려고했으나 삭제하면 즉시 다시 생성 되었다. 그림 2‑9. 에서 모니터링 한 결과가 동작되는 것을 확인한 결과가 되었다.       그림 2‑10 Fservice.exe  sservice.exe 위치 파악

3.     레지스트리 분석

 

“Registry Monitor” 화면 그림 3‑1 “Regmon” 프로그램을 사용해 레지스트리 모니터링 한 결과이다. fservice.exe : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run \DirectX For Microsoft?Windows sservice.exe : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y\StubPath fservice.exe : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         그림 3‑1 Regmon

 

 

 

3.1.      레지스트리 위치확인

“레지스트리 편집기” 화면 그림 3‑2 레지스트리 편집기에서 그림 3‑1. 위치를 확인하려고 했으나 찾을수 없었다.     그림 3‑2 레지스트리 편집기

 

 

 

 

 

 

 

 

3.2.      레지스트리 삭제

“IceSword” Tool 화면 그림 3‑3 “IceSword” 프로그램을 이용해 그림 3‑1 에 해당하는 레지스트리를 확인할 수 있었으며 모두 삭제 완료하였다.   그림 3‑3 레지스트리 삭제

 

 

 

 

 

 

 

4.     악성파일 삭제

 

“IceSword” Tool 화면 그림 4‑1 “fservice.exe”, “sservice.exe” 는 삭제가능하였으나 “services.exe” 는 “IceSword” Tool 을 이용하여 삭제 시도하였으나 다시 살아나는 것을 확인하였다. 하지만 “Delete” 기능이 아닌 “Force Delete” 기능을 사용하여 삭제 가능하였다.                   그림 4‑1 악성파일 삭제

 

4.1.      확인

“Process Explorer” Tool 화면 그림 4‑2 폴더, 레지스트리 그리고 실행중이었던 악성 “services.exe” 파일 모두 삭제된 것을 확인할 수 있었다.     그림 4‑2 확인