정보보안/침해사고 대응&분석

침해사고 대응 및 분석 - 악성코드 제거

ITtechRoy 2014. 9. 21. 13:22
728x90
반응형

눈에 보이는 문제는 보이지 않아 “Proess Explorer” 프로그램을 사용하였다.

결과는 다음과 같았다.

“Process Explorer” Tool화면

그림 11을 보면 “C:\WINDOWS\System32” 내부에 있는 “services.exe”가 아닌 단독으로 “services.exe”가 실행되고 있는 것을 확인되었으며 악성 파일로 의심된다.

 

그림 11  “Process Explorer” 화면

 

“Process Explorer” Tool화면

그림 1‑2 Kill Process 시도하였으나 에러 메시지와 함께 삭제되지 않았다.

 

그림 12 Kill Process 시도

 

 

“Process Explorer” Tool화면

그림 1‑3 “services.exe” 내부 Dll File 보면 “Description” “Company Name” 적혀있지 않은 “winkey.dll” File 있다.

 

그림 13 Dll File 분석

 

 

 

“Process Explorer” Tool화면

그림 1‑4 “winkey.dll” 파일을 분석한 결과 “Windows title : “%s”, “\ktd32.atm” 이라는 독특한 문자열을 확인하였다.

 

그림 14 Winkey.dll

 

 

 

 

 

 

 

 

 

“Everything” Tool화면

그림 1‑5 “Everything” 파일 찾기 프로그램으로 “ktd32.atm” 파일을 찾은 결과 “C:\WINDOWS” 위치한 것으로 나타났다.

 

그림 15 Ktd32.atm

 

 

“Notepad++” Tool화면

그림 1‑6 “ktd32.atm” 파일의 소스를 보기위해 메모장으로 열어본 결과 키로깅 파일로 나타났다. 즉시 삭제완료.

 

그림 16 Key Logging

 

 

 

 

“Windows 작업관리자화면

그림 2‑1. “Windows 작업관리자 통해 실행중인 프로세스 목록은 확인해 결과 정상적인 “services.exe” 확인될 악성 파일은 눈에 띄지 않았다.

 

 

그림 21 작업관리자

 

 

 

 

 

 

 

검색 결과화면

그림 2‑2 “services.exe” 검색 결과 악성 파일은 나타나지 않았다.

 

 

그림 22 검색 결과

 

 

 

“Everything” Tool 화면

그림 2‑3 “Everything” 프로그램을 이용해 “services.exe” 검색한 결과 “C:\WINDOWS” 위치에 악성파일로 추정되는 “services.exe” 파일이 존재하는 것으로 나타났다.

 

 

그림 23 Everything 이용한 services.exe 검색

 

“C:\WINDOWS” 화면

그림 2‑4 “C:\WINDOWS” 내부에 존재하는 것으로 확인되었던 “services.exe” 파일을 찾았으나 보이지 않았다. 폴더 옵션의 보호된 운영체제 파일 숨기기 체크를 해제하자 나타난 것으로 보아 보호된 운영체제로 설정된 것을 확인할 있었다.

 

 

 

 

 

 

그림 24 악성 파일 확인.

 

“C:\WINDOWS” 화면

그림 2‑5 발견된 “services.exe” 파일을 삭제 시도 했으나 프로그램 실행중으로 삭제가 불가능 하였다.

 

 

그림 25 파일 삭제 시도

 

 

 

 

 

2.5.      cmd.exe 를 이용한 Kill 시도

“cmd.exe” 화면

그림 2‑6 “cmd.exe” 이용해 프로세스 강제종료를 시도했으나 보호된 프로세스로 지정되어있는 악성파일은 강제종료 없었다.

/f : 강제종료,   /t : 자식프로세스까지 종료.

 

그림 26 cmd.exe 이용한 kill 시도

 

 

 

 

 

 

 

 

“cmd.exe” 화면

그림 2‑7 악성프로세스 강제종료를 위해 많은 명령어를 적용시키던 정상 프로세스를

  강제종료시켜 강제 재부팅, 그리고 사용을 잘못하여 블루스크린이 나타나기도 했다.

 

 

 

 

 

그림 27 오류

 

“Filemon” Tool 화면

그림 2‑8 정상적인 Process kill 가능하지 않은 것으로 판단하여 일단 악성 “services.exe” 파일이 어떠한 동작을 하는지 확인하기위해 “File Monitor” 프로그램을 이용해 모니터하였다. 초단위로 “Open”, “Close”, “Create” 수많은 작업을 하는것으로 확인되었다.

 

 

그림 28 File Monitor

 

 

 

 

 

 

 

“Filemon” Tool 화면

그림 2‑9 악성 ”services.exe” “C:\WINDOWS\system” 위치한 “sservice.exe” 뿐만 아니라 “C:\WINDOWS\system32” 위치한 “fservice.exe” 파일을 생성하는것으로 나타났다.

 

 

그림 29 services.exe 동작확인

 

 

 

 

 

 

 

 

“system32”, “system” 화면

그림 2‑10 “C:\WINDOWS\system” 위치한 “sservice.exe” 뿐만 아니라

 “C:\WINDOWS\system32” 위치한 “fservice.exe” 파일이 존재하는 것을 확인한 ,

 삭제하려고했으나 삭제하면 즉시 다시 생성 되었다. 그림 2‑9. 에서 모니터링 결과가 동작되는 것을 확인한 결과가 되었다.

 

 

 

 

 

 

 

그림 210 Fservice.exe  sservice.exe 위치 파악

 

 

“Registry Monitor” 화면

그림 3‑1 “Regmon” 프로그램을 사용해 레지스트리 모니터링 결과이다.

fservice.exe :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

\DirectX For Microsoft?Windows

sservice.exe :

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y\StubPath

fservice.exe : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

 

 

 

 

그림 31 Regmon

 

 

 

 

 

 

레지스트리 편집기화면

그림 3‑2 레지스트리 편집기에서 그림 3‑1. 위치를 확인하려고 했으나 찾을수 없었다.

 

 

그림 32 레지스트리 편집기

 

 

 

 

 

 

 

 

 

 

“IceSword” Tool 화면

그림 3‑3 “IceSword” 프로그램을 이용해 그림 3‑1 해당하는 레지스트리를 확인할 있었으며 모두 삭제 완료하였다.

 

그림 33 레지스트리 삭제

 

 

 

 

 

 

 

 

 

“IceSword” Tool 화면

그림 4‑1 “fservice.exe”, “sservice.exe” 삭제가능하였으나 “services.exe” “IceSword” Tool 이용하여 삭제 시도하였으나 다시 살아나는 것을 확인하였다. 하지만 “Delete” 기능이 아닌 “Force Delete” 기능을 사용하여 삭제 가능하였다.

 

 

 

 

 

 

 

 

 

그림 41 악성파일 삭제

 

 

“Process Explorer” Tool 화면

그림 4‑2 폴더, 레지스트리 그리고 실행중이었던 악성 “services.exe” 파일 모두 삭제된 것을 확인할 있었다.

 

 

그림 42 확인

 

 

728x90
반응형

'정보보안 > 침해사고 대응&분석' 카테고리의 다른 글

리버싱 분석연습 - time.exe  (0) 2014.09.10
리버싱 연습 - hint.exe  (0) 2014.09.10