눈에 보이는 문제는 보이지 않아 “Proess Explorer” 프로그램을 사용하였다.
결과는 다음과 같았다.
“Process Explorer” Tool화면 그림 1‑1을 보면 “C:\WINDOWS\System32” 내부에 있는 “services.exe”가 아닌 단독으로 “services.exe”가 실행되고 있는 것을 확인되었으며 악성 파일로 의심된다.
|
“Process Explorer” Tool화면 그림 1‑2 Kill Process 시도하였으나 에러 메시지와 함께 삭제되지 않았다.
|
“Process Explorer” Tool화면 그림 1‑3 “services.exe” 내부 Dll File 을 보면 “Description” 과 “Company Name” 이 적혀있지 않은 “winkey.dll” File 을 볼 수 있다.
|
“Process Explorer” Tool화면 그림 1‑4 “winkey.dll” 파일을 분석한 결과 “Windows title : “%s”, “\ktd32.atm” 이라는 독특한 문자열을 확인하였다.
|
“Everything” Tool화면 그림 1‑5 “Everything” 파일 찾기 프로그램으로 “ktd32.atm” 파일을 찾은 결과 “C:\WINDOWS”에 위치한 것으로 나타났다.
|
“Notepad++” Tool화면 그림 1‑6 “ktd32.atm” 파일의 소스를 보기위해 메모장으로 열어본 결과 키로깅 파일로 나타났다. 즉시 삭제완료.
|
“Windows 작업관리자” 화면 그림 2‑1. “Windows 작업관리자” 를 통해 실행중인 프로세스 목록은 확인해 본 결과 정상적인 “services.exe” 만 확인될 뿐 악성 파일은 눈에 띄지 않았다.
|
“검색 결과” 화면 그림 2‑2 “services.exe” 검색 결과 악성 파일은 나타나지 않았다.
|
“Everything” Tool 화면 그림 2‑3 “Everything” 프로그램을 이용해 “services.exe” 를 검색한 결과 “C:\WINDOWS” 위치에 악성파일로 추정되는 “services.exe” 파일이 존재하는 것으로 나타났다.
|
“C:\WINDOWS” 화면 그림 2‑4 “C:\WINDOWS” 내부에 존재하는 것으로 확인되었던 “services.exe” 파일을 찾았으나 보이지 않았다. 폴더 옵션의 보호된 운영체제 파일 숨기기 체크를 해제하자 나타난 것으로 보아 보호된 운영체제로 설정된 것을 확인할 수 있었다.
그림 2‑4 악성 파일 확인.
|
“C:\WINDOWS” 화면 그림 2‑5 발견된 “services.exe” 파일을 삭제 시도 했으나 프로그램 실행중으로 삭제가 불가능 하였다.
|
2.5. cmd.exe 를 이용한 Kill 시도
“cmd.exe” 화면 그림 2‑6 “cmd.exe”를 이용해 프로세스 강제종료를 시도했으나 보호된 프로세스로 지정되어있는 악성파일은 강제종료 할 수 없었다. /f : 강제종료, /t : 자식프로세스까지 종료.
|
“cmd.exe” 화면 그림 2‑7 악성프로세스 강제종료를 위해 많은 명령어를 적용시키던 중 정상 프로세스를 강제종료시켜 강제 재부팅, 그리고 툴 사용을 잘못하여 블루스크린이 나타나기도 했다.
|
“Filemon” Tool 화면 그림 2‑8 정상적인 Process kill은 가능하지 않은 것으로 판단하여 일단 악성 “services.exe” 파일이 어떠한 동작을 하는지 확인하기위해 “File Monitor” 프로그램을 이용해 모니터하였다. 초단위로 “Open”, “Close”, “Create” 등 수많은 작업을 하는것으로 확인되었다.
|
2.8. services.exe 동작 확인
“Filemon” Tool 화면 그림 2‑9 악성 ”services.exe” 는 “C:\WINDOWS\system”에 위치한 “sservice.exe” 뿐만 아니라 “C:\WINDOWS\system32”에 위치한 “fservice.exe” 파일을 생성하는것으로 나타났다.
|
“system32”, “system” 화면 그림 2‑10 “C:\WINDOWS\system”에 위치한 “sservice.exe” 뿐만 아니라 “C:\WINDOWS\system32”에 위치한 “fservice.exe” 파일이 존재하는 것을 확인한 후, 삭제하려고했으나 삭제하면 즉시 다시 생성 되었다. 그림 2‑9. 에서 모니터링 한 결과가 동작되는 것을 확인한 결과가 되었다.
그림 2‑10 Fservice.exe sservice.exe 위치 파악
|
“Registry Monitor” 화면 그림 3‑1 “Regmon” 프로그램을 사용해 레지스트리 모니터링 한 결과이다.
|
“레지스트리 편집기” 화면 그림 3‑2 레지스트리 편집기에서 그림 3‑1. 위치를 확인하려고 했으나 찾을수 없었다.
|
“IceSword” Tool 화면 그림 3‑3 “IceSword” 프로그램을 이용해 그림 3‑1 에 해당하는 레지스트리를 확인할 수 있었으며 모두 삭제 완료하였다.
|
“IceSword” Tool 화면 그림 4‑1 “fservice.exe”, “sservice.exe” 는 삭제가능하였으나 “services.exe” 는 “IceSword” Tool 을 이용하여 삭제 시도하였으나 다시 살아나는 것을 확인하였다. 하지만 “Delete” 기능이 아닌 “Force Delete” 기능을 사용하여 삭제 가능하였다.
|
“Process Explorer” Tool 화면 그림 4‑2 폴더, 레지스트리 그리고 실행중이었던 악성 “services.exe” 파일 모두 삭제된 것을 확인할 수 있었다.
|
'정보보안 > 침해사고 대응&분석' 카테고리의 다른 글
리버싱 분석연습 - time.exe (0) | 2014.09.10 |
---|---|
리버싱 연습 - hint.exe (0) | 2014.09.10 |