Your SlideShare is downloading. ×
3.ahn report를 이용한 악성코드 대응
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

3.ahn report를 이용한 악성코드 대응

573

Published on

2007년 3월 중국 법인 엔지니어 대상 교육 자료

2007년 3월 중국 법인 엔지니어 대상 교육 자료

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
573
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 1 제목쓰는 공간 2006. 4. 7 ㈜ 안철수연구소 AhnLab CBI Renewal Project (서체-HY헤드라인M 30pt) (서체-Arial Bold 15pt) (서체-HY헤드라인M 13pt) AhnReport를 이용한 악성코드 대응 2007.03.07 ㈜ 안철수연구소 AhnLab Security E-response Center Anti-Virus Researcher, CISSP 장 영 준
  • 2. 2 목 차 1. 악성코드 특성 3. AhnReport의 사용법 2. AhnReport의 이해 4. AhnReport 로그 분석
  • 3. 3 1. 악성코드 특성
  • 4. 4 윈도우 폴더(C:Windows) 또는 시스템 폴더(C:WindowsSystem32) 에 복사본 생성 레지스트리 생성 - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionWinlogon "Shell“ 에 추가 - HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows "load“ 에 생성 1. 복사본 생성 2. 자동 실행 (1) 1. 악성코드 특성
  • 5. 5 1. 악성코드 특성 윈도우 서비스 등록 - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices - HKEY_LOCAL_MACHINESYSTEMControlSet001Services - HKEY_LOCAL_MACHINESYSTEMControlSet002Services 시작 프로그램 폴더 c:Documents and SettingsAdministrator시작 메뉴프로그램Startup 보안 프로그램 프로세스 강제종료 윈도우 시스템 유틸리티 프로세스 강제종료 레지스트리 수정으로 보안 프로그램의 윈도우 서비스 비활성화 레지스트리 수정으로 윈도우 보안센터 비활성화 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center 하위 키에 존재하는 백신, 방화벽, 윈도우 업데이트 서비스 관련 키 설정 변경 2. 자동 실행 (2) 3. 보안 프로그램 무력화 (1)
  • 6. 6 레지스트리 수정으로 윈도우 방화벽 우회 - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess ParametersFirewallPolicy 하위 키로 자신의 프로세스명을 등록 레지스트리 수정으로 윈도우 시스템 유틸리티 실행 불가 - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies 하위키에 "DisableCMD“와 "DisableRegistryTools“ 키 생성 파일 속성을 “숨김”과 “시스템 파일”로 설정 윈도우 폴더 옵션 설정 변경 - “숨김 파일 및 폴더 표시 안 함” 로 변경 “알려진 파일 형식의 파일 확장명 숨기기” 로 변경 - “보호된 운영 체제 파일 숨기기” 로 변경 3. 보안 프로그램 무력화 (2) 4. 파일 은폐 1. 악성코드 특성
  • 7. 7 특정 TCP 또는 UDP 포트를 이용 인터넷 익스플로러의 스레드(Thread) 또는 핸들(Handle)로 인젝션 후 이용 익스플로러 (explorer.exe)의 스레드로 인젝션 후 이용 특정 프로세스의 스레드로 인젝션 후 이용 파일 명칭이 윈도우 시스템 파일과 유사 정상 프로그램의 파일 명칭과 유사 정상 파일 명칭과 동일하나 파일 위치가 다른 경로에 존재 파일의 등록정보 미존재 5. 네트워크 연결 6. 사회 공학 기법 사용 7. 파일의 실행 압축 또는 암호화 파일이 정상적인 컴파일 상태가 아닌 특정 패커(Packer)로 파일을 실행 압축 또는 특정 크립터(Crypter)로 파일 자체를 암호화 함. 1. 악성코드 특성
  • 8. 8 2. AhnReport의 이해
  • 9. 9 • 예전 - V3를 설치한 시스템에서 발생하는 오류 분석 • 최근 - 악성코드에 감염된 것으로 의심되는 시스템에서 의심 파일을 수집하기 위한 용도로 분석 1. 안레포트(AhnReport) 2. AhnReport의 이해 2. 안레포트(AhnReport) 버전 - 현재 가장 최신의 안레포트(AhnReport)는 6.1.7.25 버전
  • 10. 10 - 악성코드의 기본적인 특성 인지 - 윈도우 시스템에 대한 기본적인 이해 - 안레포트(AhnReport) 분석으로 감염 확인이 어려운 악성코드도 존재 은폐형 악성코드, 워드 또는 엑셀 매크로 바이러스, 스크립트 바이러스 3. 안레포트(AhnReport) 참고 사항 2. AhnReport의 이해 • 안레포트(AhnReport) 분석 대상 시스템 - 내부 네트워크에 과다 트래픽을 생성하는 시스템 - 주기적인 네트워크 트래픽 발생 시스템 - 시스템의 급격하게 느려지거나 비정상적인 이상 증상 발생 - 기타 시스템에서 알 수 없는 오류가 발생하는 경우
  • 11. 11 3. AhnReport의 사용법
  • 12. 12 • 시스템 확인 - 네트워크 내에서 감염이 의심되는 시스템을 확보 - 해당 시스템을 네트워크로부터 단절 후 일반 사용자의 사용 제한 - 시스템에서 실행 중인 모든 프로그램 종료 • 시스템 조사 - 안티 바이러스 및 안티 스파이웨어 프로그램이 최신 엔진이 적용되어 있는지 확인 - 시스템을 안전모드로 부팅한 후 안티 바이러스 및 안티 스파이웨어 프로그램으로 시스템 전체를 검사 - 시스템을 정상 윈도우 모드로 부팅 후에도 동일한 이상 증상이 발생하는지 확인 - 동일한 이상 증상이 재발할 경우 다양한 시스템 모니터링 도구와 AhnReport로 시스템 분석 1. 안레포트(AhnReport) 실행 전 3. AhnReport의 사용법
  • 13. 13 - 감염으로 의심되는 시스템에서 안레포트(AhnReport)를 실행 - Save 버튼을 클릭하여 로그 생성 및 저장 2. 안레포트(AhnReport) 실행 [안레포트 최초 실행정보] [안레포트 저장] 3. AhnReport의 사용법
  • 14. 14 - 안레포트를 전송에 필요한 기본 정보 입력 - 안레포트를 저장할 위치 선택하여 ZIP 파일로 압축하여 저장 3. 안레포트(AhnReport) 저장 [기본 정보 입력] [저장할 위치 선택] 3. AhnReport의 사용법
  • 15. 15 - 로그 생성 및 저장 진행 - 로그 생성 및 저장이 완료 4. 안레포트(AhnReport) 로그 생성 [저장 진행] [저장 완료] 3. AhnReport의 사용법
  • 16. 16 - 생성된 ZIP 파일의 로그 중 *.arp 확장자의 파일이 시스템 분석에 필요한 로그 - *.arp 파일을 메모장 또는 텍스트 편집기로 실행 후 로그 분석 진행 5. 안레포트(AhnReport) 로그 생성 완료 [생성된 로그 확인] [로그를 메모장을 이용해 실행] 3. AhnReport의 사용법
  • 17. 17 4. AhnReport 로그 분석
  • 18. 18 • 시스템 정보 확인 - 운영체제 정보와 패치 그리고 서비스팩 설치 여부 확인 - 설치되어 있는 V3와 SpyZero 엔진 버전 확인 • 시스템 분석 - 검역소 정보를 확인하여 동일한 악성코드의 재감염 증상이 있는지 확인 - 실행 중인 프로세스 중 의심스러운 파일이 있는지 확인 잘못된 파일명, 잘못된 경로에 존재하는 파일, 사용자 계정으로 실행되는 파일 등록 정보가 없는 파일 - 시작 프로그램에 등록되어 있는 파일 중 의심스러운 파일이 있는지 확인 HKLM/~/Run, HKCU/~/Run, Shell, WinLogon 에 등록된 잘못된 파일 - 네트워크 포트를 오픈하여 외부로 통신하는 의심스러운 파일이 있는지 확인 다수의 포트를 오픈, 외부 네트워크로 접속하는 파일 1. 안레포트(AhnReport) 로그 분석 4. AhnReport 로그 분석
  • 19. 19 - 운영 체제와 패치 정보, V3와 SpyZero의 엔진 버전 확인 - 검역소에 보관 중인 파일 확인 4. AhnReport 로그 분석 2. 시스템 정보 확인 [운영 체제와 엔진 정보] [검역소 확인]
  • 20. 20 - 실행 중인 프로세스 중 잘못된 파일명, 경로가 잘못된 파일이 있는지 확인 - 사용자 계정의 권한으로 실행 중인 파일 중 파일 등록 정보가 없는 프로세스가 있는지 확인 3. 실행 중인 프로세스 분석 [실행 중인 프로세스] [권한과 등록정보] 4. AhnReport 로그 분석
  • 21. 21 4. 시작 프로그램 분석 [시작 프로그램 확인] 4. AhnReport 로그 분석 - RegRun(Machine) HKLM/~/Run에 등록된 파일 - RegRun(사용자 계정명) HKCU/~/Run에 등록된 파일 - Shell(Machine) 기본 값으로 Explorer.exe만 등록되어 있음 - WinLogon(User) 기본 값으로 userinit.exe만 등록되어 있음
  • 22. 22 - 다수의 네트워크 포트를 오픈하는 파일 - 외부 네트워크로 접속을 시도하는 파일 5. 네트워크 분석 [네트워크 확인] 4. AhnReport 로그 분석
  • 23. 23 감사합니다 Q&A

×