SlideShare una empresa de Scribd logo

3.ahn report를 이용한 악성코드 대응

Youngjun Chang
Youngjun Chang

2007년 3월 중국 법인 엔지니어 대상 교육 자료

Tecnología
1 de 23
Descargar para leer sin conexión
1 제목쓰는 공간 2006. 4. 7 ㈜ 안철수연구소 AhnLab CBI Renewal Project (서체-HY헤드라인M 30pt) (서체-Arial Bold 15pt) (서체-HY헤드라인M 13pt) AhnReport를 이용한 악성코드 대응 2007.03.07 ㈜ 안철수연구소 AhnLab Security E-response Center Anti-Virus Researcher, CISSP 장 영 준
2 목 차 1. 악성코드 특성 3. AhnReport의 사용법 2. AhnReport의 이해 4. AhnReport 로그 분석
3 1. 악성코드 특성
4 윈도우 폴더(C:Windows) 또는 시스템 폴더(C:WindowsSystem32) 에 복사본 생성 레지스트리 생성 - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionWinlogon "Shell“ 에 추가 - HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows "load“ 에 생성 1. 복사본 생성 2. 자동 실행 (1) 1. 악성코드 특성
5 1. 악성코드 특성 윈도우 서비스 등록 - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices - HKEY_LOCAL_MACHINESYSTEMControlSet001Services - HKEY_LOCAL_MACHINESYSTEMControlSet002Services 시작 프로그램 폴더 c:Documents and SettingsAdministrator시작 메뉴프로그램Startup 보안 프로그램 프로세스 강제종료 윈도우 시스템 유틸리티 프로세스 강제종료 레지스트리 수정으로 보안 프로그램의 윈도우 서비스 비활성화 레지스트리 수정으로 윈도우 보안센터 비활성화 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center 하위 키에 존재하는 백신, 방화벽, 윈도우 업데이트 서비스 관련 키 설정 변경 2. 자동 실행 (2) 3. 보안 프로그램 무력화 (1)
6 레지스트리 수정으로 윈도우 방화벽 우회 - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess ParametersFirewallPolicy 하위 키로 자신의 프로세스명을 등록 레지스트리 수정으로 윈도우 시스템 유틸리티 실행 불가 - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies 하위키에 "DisableCMD“와 "DisableRegistryTools“ 키 생성 파일 속성을 “숨김”과 “시스템 파일”로 설정 윈도우 폴더 옵션 설정 변경 - “숨김 파일 및 폴더 표시 안 함” 로 변경 “알려진 파일 형식의 파일 확장명 숨기기” 로 변경 - “보호된 운영 체제 파일 숨기기” 로 변경 3. 보안 프로그램 무력화 (2) 4. 파일 은폐 1. 악성코드 특성
7 특정 TCP 또는 UDP 포트를 이용 인터넷 익스플로러의 스레드(Thread) 또는 핸들(Handle)로 인젝션 후 이용 익스플로러 (explorer.exe)의 스레드로 인젝션 후 이용 특정 프로세스의 스레드로 인젝션 후 이용 파일 명칭이 윈도우 시스템 파일과 유사 정상 프로그램의 파일 명칭과 유사 정상 파일 명칭과 동일하나 파일 위치가 다른 경로에 존재 파일의 등록정보 미존재 5. 네트워크 연결 6. 사회 공학 기법 사용 7. 파일의 실행 압축 또는 암호화 파일이 정상적인 컴파일 상태가 아닌 특정 패커(Packer)로 파일을 실행 압축 또는 특정 크립터(Crypter)로 파일 자체를 암호화 함. 1. 악성코드 특성
8 2. AhnReport의 이해
9 • 예전 - V3를 설치한 시스템에서 발생하는 오류 분석 • 최근 - 악성코드에 감염된 것으로 의심되는 시스템에서 의심 파일을 수집하기 위한 용도로 분석 1. 안레포트(AhnReport) 2. AhnReport의 이해 2. 안레포트(AhnReport) 버전 - 현재 가장 최신의 안레포트(AhnReport)는 6.1.7.25 버전
10 - 악성코드의 기본적인 특성 인지 - 윈도우 시스템에 대한 기본적인 이해 - 안레포트(AhnReport) 분석으로 감염 확인이 어려운 악성코드도 존재 은폐형 악성코드, 워드 또는 엑셀 매크로 바이러스, 스크립트 바이러스 3. 안레포트(AhnReport) 참고 사항 2. AhnReport의 이해 • 안레포트(AhnReport) 분석 대상 시스템 - 내부 네트워크에 과다 트래픽을 생성하는 시스템 - 주기적인 네트워크 트래픽 발생 시스템 - 시스템의 급격하게 느려지거나 비정상적인 이상 증상 발생 - 기타 시스템에서 알 수 없는 오류가 발생하는 경우
11 3. AhnReport의 사용법
12 • 시스템 확인 - 네트워크 내에서 감염이 의심되는 시스템을 확보 - 해당 시스템을 네트워크로부터 단절 후 일반 사용자의 사용 제한 - 시스템에서 실행 중인 모든 프로그램 종료 • 시스템 조사 - 안티 바이러스 및 안티 스파이웨어 프로그램이 최신 엔진이 적용되어 있는지 확인 - 시스템을 안전모드로 부팅한 후 안티 바이러스 및 안티 스파이웨어 프로그램으로 시스템 전체를 검사 - 시스템을 정상 윈도우 모드로 부팅 후에도 동일한 이상 증상이 발생하는지 확인 - 동일한 이상 증상이 재발할 경우 다양한 시스템 모니터링 도구와 AhnReport로 시스템 분석 1. 안레포트(AhnReport) 실행 전 3. AhnReport의 사용법
13 - 감염으로 의심되는 시스템에서 안레포트(AhnReport)를 실행 - Save 버튼을 클릭하여 로그 생성 및 저장 2. 안레포트(AhnReport) 실행 [안레포트 최초 실행정보] [안레포트 저장] 3. AhnReport의 사용법
14 - 안레포트를 전송에 필요한 기본 정보 입력 - 안레포트를 저장할 위치 선택하여 ZIP 파일로 압축하여 저장 3. 안레포트(AhnReport) 저장 [기본 정보 입력] [저장할 위치 선택] 3. AhnReport의 사용법
15 - 로그 생성 및 저장 진행 - 로그 생성 및 저장이 완료 4. 안레포트(AhnReport) 로그 생성 [저장 진행] [저장 완료] 3. AhnReport의 사용법
16 - 생성된 ZIP 파일의 로그 중 *.arp 확장자의 파일이 시스템 분석에 필요한 로그 - *.arp 파일을 메모장 또는 텍스트 편집기로 실행 후 로그 분석 진행 5. 안레포트(AhnReport) 로그 생성 완료 [생성된 로그 확인] [로그를 메모장을 이용해 실행] 3. AhnReport의 사용법
17 4. AhnReport 로그 분석
18 • 시스템 정보 확인 - 운영체제 정보와 패치 그리고 서비스팩 설치 여부 확인 - 설치되어 있는 V3와 SpyZero 엔진 버전 확인 • 시스템 분석 - 검역소 정보를 확인하여 동일한 악성코드의 재감염 증상이 있는지 확인 - 실행 중인 프로세스 중 의심스러운 파일이 있는지 확인 잘못된 파일명, 잘못된 경로에 존재하는 파일, 사용자 계정으로 실행되는 파일 등록 정보가 없는 파일 - 시작 프로그램에 등록되어 있는 파일 중 의심스러운 파일이 있는지 확인 HKLM/~/Run, HKCU/~/Run, Shell, WinLogon 에 등록된 잘못된 파일 - 네트워크 포트를 오픈하여 외부로 통신하는 의심스러운 파일이 있는지 확인 다수의 포트를 오픈, 외부 네트워크로 접속하는 파일 1. 안레포트(AhnReport) 로그 분석 4. AhnReport 로그 분석
19 - 운영 체제와 패치 정보, V3와 SpyZero의 엔진 버전 확인 - 검역소에 보관 중인 파일 확인 4. AhnReport 로그 분석 2. 시스템 정보 확인 [운영 체제와 엔진 정보] [검역소 확인]
20 - 실행 중인 프로세스 중 잘못된 파일명, 경로가 잘못된 파일이 있는지 확인 - 사용자 계정의 권한으로 실행 중인 파일 중 파일 등록 정보가 없는 프로세스가 있는지 확인 3. 실행 중인 프로세스 분석 [실행 중인 프로세스] [권한과 등록정보] 4. AhnReport 로그 분석
21 4. 시작 프로그램 분석 [시작 프로그램 확인] 4. AhnReport 로그 분석 - RegRun(Machine) HKLM/~/Run에 등록된 파일 - RegRun(사용자 계정명) HKCU/~/Run에 등록된 파일 - Shell(Machine) 기본 값으로 Explorer.exe만 등록되어 있음 - WinLogon(User) 기본 값으로 userinit.exe만 등록되어 있음
22 - 다수의 네트워크 포트를 오픈하는 파일 - 외부 네트워크로 접속을 시도하는 파일 5. 네트워크 분석 [네트워크 확인] 4. AhnReport 로그 분석
23 감사합니다 Q&A

Recomendados

Malware hunting with the sysinternals tools
Malware hunting with the sysinternals toolsMalware hunting with the sysinternals tools
Malware hunting with the sysinternals toolsAli Asad Sahu
 
Red team Engagement
Red team EngagementRed team Engagement
Red team EngagementIndranil Banerjee
 
Leveraging MITRE ATT&CK - Speaking the Common Language
Leveraging MITRE ATT&CK - Speaking the Common LanguageLeveraging MITRE ATT&CK - Speaking the Common Language
Leveraging MITRE ATT&CK - Speaking the Common LanguageErik Van Buggenhout
 
Introduction to MITRE ATT&CK
Introduction to MITRE ATT&CKIntroduction to MITRE ATT&CK
Introduction to MITRE ATT&CKArpan Raval
 
Cyber Threat Intelligence | Information to Insight
Cyber Threat Intelligence | Information to InsightCyber Threat Intelligence | Information to Insight
Cyber Threat Intelligence | Information to InsightDeep Shankar Yadav
 
Adversary Emulation - DerpCon
Adversary Emulation - DerpConAdversary Emulation - DerpCon
Adversary Emulation - DerpConJorge Orchilles
 
JSON SQL Injection and the Lessons Learned
JSON SQL Injection and the Lessons LearnedJSON SQL Injection and the Lessons Learned
JSON SQL Injection and the Lessons LearnedKazuho Oku
 
[2013 CodeEngn Conference 08] pwn3r - Pwning multiplayer game - case Starcraf...
[2013 CodeEngn Conference 08] pwn3r - Pwning multiplayer game - case Starcraf...[2013 CodeEngn Conference 08] pwn3r - Pwning multiplayer game - case Starcraf...
[2013 CodeEngn Conference 08] pwn3r - Pwning multiplayer game - case Starcraf...GangSeok Lee
 

Recomendados

Malware hunting with the sysinternals tools
Malware hunting with the sysinternals toolsMalware hunting with the sysinternals tools
Malware hunting with the sysinternals toolsAli Asad Sahu
 
Red team Engagement
Red team EngagementRed team Engagement
Red team EngagementIndranil Banerjee
 
Leveraging MITRE ATT&CK - Speaking the Common Language
Leveraging MITRE ATT&CK - Speaking the Common LanguageLeveraging MITRE ATT&CK - Speaking the Common Language
Leveraging MITRE ATT&CK - Speaking the Common LanguageErik Van Buggenhout
 
Introduction to MITRE ATT&CK
Introduction to MITRE ATT&CKIntroduction to MITRE ATT&CK
Introduction to MITRE ATT&CKArpan Raval
 
Cyber Threat Intelligence | Information to Insight
Cyber Threat Intelligence | Information to InsightCyber Threat Intelligence | Information to Insight
Cyber Threat Intelligence | Information to InsightDeep Shankar Yadav
 
Adversary Emulation - DerpCon
Adversary Emulation - DerpConAdversary Emulation - DerpCon
Adversary Emulation - DerpConJorge Orchilles
 
JSON SQL Injection and the Lessons Learned
JSON SQL Injection and the Lessons LearnedJSON SQL Injection and the Lessons Learned
JSON SQL Injection and the Lessons LearnedKazuho Oku
 
[2013 CodeEngn Conference 08] pwn3r - Pwning multiplayer game - case Starcraf...
[2013 CodeEngn Conference 08] pwn3r - Pwning multiplayer game - case Starcraf...[2013 CodeEngn Conference 08] pwn3r - Pwning multiplayer game - case Starcraf...
[2013 CodeEngn Conference 08] pwn3r - Pwning multiplayer game - case Starcraf...GangSeok Lee
 
Intrusion Detection Presentation
Intrusion Detection PresentationIntrusion Detection Presentation
Intrusion Detection PresentationMustafash79
 
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsMemory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsJared Greenhill
 
Threat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonThreat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonBen Boyd
 
Hunting for Privilege Escalation in Windows Environment
Hunting for Privilege Escalation in Windows EnvironmentHunting for Privilege Escalation in Windows Environment
Hunting for Privilege Escalation in Windows EnvironmentTeymur Kheirkhabarov
 
Brute Force Attack Security Use Case Guide
Brute Force Attack Security Use Case Guide Brute Force Attack Security Use Case Guide
Brute Force Attack Security Use Case Guide Protect724manoj
 
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...Beau Bullock
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsSergey Soldatov
 
Cybersecurity technology adoption survey
Cybersecurity technology adoption surveyCybersecurity technology adoption survey
Cybersecurity technology adoption surveyPaperjam_redaction
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakBGA Cyber Security
 
Haiku operating system
Haiku operating systemHaiku operating system
Haiku operating systemhoneyleth juanico
 
Social Engineering | #ARMSec2015
Social Engineering | #ARMSec2015Social Engineering | #ARMSec2015
Social Engineering | #ARMSec2015Hovhannes Aghajanyan
 
Cyber Security in The Cloud
Cyber Security in The CloudCyber Security in The Cloud
Cyber Security in The CloudPECB
 
XSS - Attacks & Defense
XSS - Attacks & DefenseXSS - Attacks & Defense
XSS - Attacks & DefenseBlueinfy Solutions
 
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE - ATT&CKcon
 
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Korea University
 
Security Onion - Introduction
Security Onion - IntroductionSecurity Onion - Introduction
Security Onion - Introductionn|u - The Open Security Community
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter HimselfTeymur Kheirkhabarov
 
Iot cyber security
Iot cyber securityIot cyber security
Iot cyber securitysajid mehmood
 
Cyber Security
Cyber SecurityCyber Security
Cyber SecurityADGP, Public Grivences, Bangalore
 
Cyber threat intelligence ppt
Cyber threat intelligence pptCyber threat intelligence ppt
Cyber threat intelligence pptKumar Gaurav
 
2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향Youngjun Chang
 
중국 It문화와 해커
중국 It문화와 해커중국 It문화와 해커
중국 It문화와 해커Youngjun Chang
 

Más contenido relacionado

La actualidad más candente

Intrusion Detection Presentation
Intrusion Detection PresentationIntrusion Detection Presentation
Intrusion Detection PresentationMustafash79
 
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsMemory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsJared Greenhill
 
Threat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonThreat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonBen Boyd
 
Hunting for Privilege Escalation in Windows Environment
Hunting for Privilege Escalation in Windows EnvironmentHunting for Privilege Escalation in Windows Environment
Hunting for Privilege Escalation in Windows EnvironmentTeymur Kheirkhabarov
 
Brute Force Attack Security Use Case Guide
Brute Force Attack Security Use Case Guide Brute Force Attack Security Use Case Guide
Brute Force Attack Security Use Case Guide Protect724manoj
 
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...Beau Bullock
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsSergey Soldatov
 
Cybersecurity technology adoption survey
Cybersecurity technology adoption surveyCybersecurity technology adoption survey
Cybersecurity technology adoption surveyPaperjam_redaction
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakBGA Cyber Security
 
Cyber Security in The Cloud
Cyber Security in The CloudCyber Security in The Cloud
Cyber Security in The CloudPECB
 
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE - ATT&CKcon
 
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Korea University
 
Cyber threat intelligence ppt
Cyber threat intelligence pptCyber threat intelligence ppt
Cyber threat intelligence pptKumar Gaurav
 

La actualidad más candente (20)

Intrusion Detection Presentation
Intrusion Detection PresentationIntrusion Detection Presentation
Intrusion Detection Presentation
 
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced ActorsMemory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
Memory Forensics for IR - Leveraging Volatility to Hunt Advanced Actors
 
Threat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonThreat hunting - Every day is hunting season
Threat hunting - Every day is hunting season
 
Hunting for Privilege Escalation in Windows Environment
Hunting for Privilege Escalation in Windows EnvironmentHunting for Privilege Escalation in Windows Environment
Hunting for Privilege Escalation in Windows Environment
 
Brute Force Attack Security Use Case Guide
Brute Force Attack Security Use Case Guide Brute Force Attack Security Use Case Guide
Brute Force Attack Security Use Case Guide
 
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
Beyond the Pentest: How C2, Internal Pivoting, and Data Exfiltration Show Tru...
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operations
 
Cybersecurity technology adoption survey
Cybersecurity technology adoption surveyCybersecurity technology adoption survey
Cybersecurity technology adoption survey
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
 
Haiku operating system
Haiku operating systemHaiku operating system
Haiku operating system
 
Social Engineering | #ARMSec2015
Social Engineering | #ARMSec2015Social Engineering | #ARMSec2015
Social Engineering | #ARMSec2015
 
Cyber Security in The Cloud
Cyber Security in The CloudCyber Security in The Cloud
Cyber Security in The Cloud
 
XSS - Attacks & Defense
XSS - Attacks & DefenseXSS - Attacks & Defense
XSS - Attacks & Defense
 
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
MITRE ATT&CKcon 2.0: Using Threat Intelligence to Focus ATT&CK Activities; Da...
 
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
Netsec-kr 2013 발표자료 - 악성코드 유사도 분석 기술 동향 (김휘강)
 
Security Onion - Introduction
Security Onion - IntroductionSecurity Onion - Introduction
Security Onion - Introduction
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 
Iot cyber security
Iot cyber securityIot cyber security
Iot cyber security
 
Cyber Security
Cyber SecurityCyber Security
Cyber Security
 
Cyber threat intelligence ppt
Cyber threat intelligence pptCyber threat intelligence ppt
Cyber threat intelligence ppt
 

Destacado

2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향Youngjun Chang
 
중국 It문화와 해커
중국 It문화와 해커중국 It문화와 해커
중국 It문화와 해커Youngjun Chang
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응Youngjun Chang
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법Youngjun Chang
 
악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향Youngjun Chang
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론Youngjun Chang
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법Youngjun Chang
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론Youngjun Chang
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법Youngjun Chang
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basicYoungjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례Youngjun Chang
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversingYoungjun Chang
 
Windows Vista Security
Windows Vista SecurityWindows Vista Security
Windows Vista SecurityYoungjun Chang
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향Youngjun Chang
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversingYoungjun Chang
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례Youngjun Chang
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안Youngjun Chang
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkitYoungjun Chang
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론Youngjun Chang
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file formatYoungjun Chang
 

Destacado (20)

2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향2.악성 코드와 최근의 동향
2.악성 코드와 최근의 동향
 
중국 It문화와 해커
중국 It문화와 해커중국 It문화와 해커
중국 It문화와 해커
 
2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응2007년 6월 악성코드 최신 동향과 대응
2007년 6월 악성코드 최신 동향과 대응
 
악성코드 최신 동향과 기법
악성코드 최신 동향과 기법악성코드 최신 동향과 기법
악성코드 최신 동향과 기법
 
악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향악성 코드와 보안 위협 동향
악성 코드와 보안 위협 동향
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
 
2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
 
1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론1. 악성코드 진단 기법 개론
1. 악성코드 진단 기법 개론
 
1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법1.악성코드 최신 동향과 기법
1.악성코드 최신 동향과 기법
 
4. reverse engineering basic
4. reverse engineering basic4. reverse engineering basic
4. reverse engineering basic
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
 
6. code level reversing
6. code level reversing6. code level reversing
6. code level reversing
 
Windows Vista Security
Windows Vista SecurityWindows Vista Security
Windows Vista Security
 
1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향1. 2009년 상반기 보안 위협 동향
1. 2009년 상반기 보안 위협 동향
 
5. system level reversing
5. system level reversing5. system level reversing
5. system level reversing
 
3. 악성코드 분석 사례
3. 악성코드 분석 사례3. 악성코드 분석 사례
3. 악성코드 분석 사례
 
2.악성코드와 분석 방안
2.악성코드와 분석 방안2.악성코드와 분석 방안
2.악성코드와 분석 방안
 
3. windows system과 rootkit
3. windows system과 rootkit3. windows system과 rootkit
3. windows system과 rootkit
 
2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론2. 악성코드 동적 분석 방법론
2. 악성코드 동적 분석 방법론
 
2. windows system과 file format
2. windows system과 file format2. windows system과 file format
2. windows system과 file format
 

Similar a 3.ahn report를 이용한 악성코드 대응

2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응Youngjun Chang
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구Youngjun Chang
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안Youngjun Chang
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?plainbit
 
(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가INSIGHT FORENSIC
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안Youngjun Chang
 
백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판
백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판
백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판Minseok(Jacky) Cha
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라INSIGHT FORENSIC
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구Youngjun Chang
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법Youngjun Chang
 
[온라인교육시리즈] 네이버 클라우드 플랫폼 init script 활용법 소개(정낙수 클라우드 솔루션 아키텍트)
[온라인교육시리즈] 네이버 클라우드 플랫폼 init script 활용법 소개(정낙수 클라우드 솔루션 아키텍트)[온라인교육시리즈] 네이버 클라우드 플랫폼 init script 활용법 소개(정낙수 클라우드 솔루션 아키텍트)
[온라인교육시리즈] 네이버 클라우드 플랫폼 init script 활용법 소개(정낙수 클라우드 솔루션 아키텍트)NAVER CLOUD PLATFORMㅣ네이버 클라우드 플랫폼
 
comparing Shell dectector and NeoPI
comparing Shell dectector and NeoPIcomparing Shell dectector and NeoPI
comparing Shell dectector and NeoPIIlsun Choi
 
600.Troubleshooting Patterns
600.Troubleshooting Patterns600.Troubleshooting Patterns
600.Troubleshooting PatternsOpennaru, inc.
 
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다GangSeok Lee
 
실무로 배우는 시스템 성능 최적화 8부 - 1,2,3장
실무로 배우는 시스템 성능 최적화 8부 - 1,2,3장실무로 배우는 시스템 성능 최적화 8부 - 1,2,3장
실무로 배우는 시스템 성능 최적화 8부 - 1,2,3장Sunggon Song
 

Similar a 3.ahn report를 이용한 악성코드 대응 (20)

2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법2. 악성코드 분석 방법론과 기법
2. 악성코드 분석 방법론과 기법
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응악성코드와 기업의 악성코드 대응
악성코드와 기업의 악성코드 대응
 
악성코드 분석 도구
악성코드 분석 도구악성코드 분석 도구
악성코드 분석 도구
 
악성코드와 분석 방안
악성코드와 분석 방안악성코드와 분석 방안
악성코드와 분석 방안
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?(FICON2015) #3 어떻게 들어왔는가?
(FICON2015) #3 어떻게 들어왔는가?
 
(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가(Ficon2015) #3 어떻게 들어왔는가
(Ficon2015) #3 어떻게 들어왔는가
 
악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안악성코드 최신 동향과 분석 방안
악성코드 최신 동향과 분석 방안
 
백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판
백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판
백신 프로그램의 원리와 동작 차민석 20151117_security plus 발표판
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
(Ficon2016) #2 침해사고 대응, 이렇다고 전해라
 
악성코드와 시스템 복구
악성코드와 시스템 복구악성코드와 시스템 복구
악성코드와 시스템 복구
 
App check pro_표준제안서_z
App check pro_표준제안서_zApp check pro_표준제안서_z
App check pro_표준제안서_z
 
보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법보안 위협 형태와 악성코드 분석 기법
보안 위협 형태와 악성코드 분석 기법
 
[온라인교육시리즈] 네이버 클라우드 플랫폼 init script 활용법 소개(정낙수 클라우드 솔루션 아키텍트)
[온라인교육시리즈] 네이버 클라우드 플랫폼 init script 활용법 소개(정낙수 클라우드 솔루션 아키텍트)[온라인교육시리즈] 네이버 클라우드 플랫폼 init script 활용법 소개(정낙수 클라우드 솔루션 아키텍트)
[온라인교육시리즈] 네이버 클라우드 플랫폼 init script 활용법 소개(정낙수 클라우드 솔루션 아키텍트)
 
comparing Shell dectector and NeoPI
comparing Shell dectector and NeoPIcomparing Shell dectector and NeoPI
comparing Shell dectector and NeoPI
 
600.Troubleshooting Patterns
600.Troubleshooting Patterns600.Troubleshooting Patterns
600.Troubleshooting Patterns
 
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
[2014 CodeEngn Conference 10] 심준보 - 급전이 필요합니다
 
실무로 배우는 시스템 성능 최적화 8부 - 1,2,3장
실무로 배우는 시스템 성능 최적화 8부 - 1,2,3장실무로 배우는 시스템 성능 최적화 8부 - 1,2,3장
실무로 배우는 시스템 성능 최적화 8부 - 1,2,3장
 

Más de Youngjun Chang

IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)Youngjun Chang
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsYoungjun Chang
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Youngjun Chang
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatilityYoungjun Chang
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측Youngjun Chang
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응Youngjun Chang
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안Youngjun Chang
 
SNS 보안 위협 사례
SNS 보안 위협 사례SNS 보안 위협 사례
SNS 보안 위협 사례Youngjun Chang
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안Youngjun Chang
 
2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협Youngjun Chang
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법Youngjun Chang
 
1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징Youngjun Chang
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호Youngjun Chang
 
중국 보안 위협 동향
중국 보안 위협 동향중국 보안 위협 동향
중국 보안 위협 동향Youngjun Chang
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호Youngjun Chang
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안Youngjun Chang
 

Más de Youngjun Chang (17)

IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)IT보안과 사회공학(Social Engineering)
IT보안과 사회공학(Social Engineering)
 
Volatility를 이용한 memory forensics
Volatility를 이용한 memory forensicsVolatility를 이용한 memory forensics
Volatility를 이용한 memory forensics
 
Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안Apt(advanced persistent threat) 공격의 현재와 대응 방안
Apt(advanced persistent threat) 공격의 현재와 대응 방안
 
Memory forensics with volatility
Memory forensics with volatilityMemory forensics with volatility
Memory forensics with volatility
 
2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측2011년 보안 이슈와 2012년 보안 위협 예측
2011년 보안 이슈와 2012년 보안 위협 예측
 
클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응클라우드 서비스를 이용한 APT 대응
클라우드 서비스를 이용한 APT 대응
 
APT Case Study
APT Case StudyAPT Case Study
APT Case Study
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
SNS 보안 위협 사례
SNS 보안 위협 사례SNS 보안 위협 사례
SNS 보안 위협 사례
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 
2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협2010년 상반기 보안 위협 동향과 주요 보안 위협
2010년 상반기 보안 위협 동향과 주요 보안 위협
 
보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법보안 위협과 악성코드 분석 기법
보안 위협과 악성코드 분석 기법
 
1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징1. 보안 위협 동향과 주요 보안 위협 특징
1. 보안 위협 동향과 주요 보안 위협 특징
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
중국 보안 위협 동향
중국 보안 위협 동향중국 보안 위협 동향
중국 보안 위협 동향
 
악성코드와 개인 정보 보호
악성코드와 개인 정보 보호악성코드와 개인 정보 보호
악성코드와 개인 정보 보호
 
보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안보안 위협 동향과 대응 방안
보안 위협 동향과 대응 방안
 

3.ahn report를 이용한 악성코드 대응

  • 1. 1 제목쓰는 공간 2006. 4. 7 ㈜ 안철수연구소 AhnLab CBI Renewal Project (서체-HY헤드라인M 30pt) (서체-Arial Bold 15pt) (서체-HY헤드라인M 13pt) AhnReport를 이용한 악성코드 대응 2007.03.07 ㈜ 안철수연구소 AhnLab Security E-response Center Anti-Virus Researcher, CISSP 장 영 준
  • 2. 2 목 차 1. 악성코드 특성 3. AhnReport의 사용법 2. AhnReport의 이해 4. AhnReport 로그 분석
  • 4. 4 윈도우 폴더(C:Windows) 또는 시스템 폴더(C:WindowsSystem32) 에 복사본 생성 레지스트리 생성 - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT CurrentVersionWinlogon "Shell“ 에 추가 - HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows "load“ 에 생성 1. 복사본 생성 2. 자동 실행 (1) 1. 악성코드 특성
  • 5. 5 1. 악성코드 특성 윈도우 서비스 등록 - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices - HKEY_LOCAL_MACHINESYSTEMControlSet001Services - HKEY_LOCAL_MACHINESYSTEMControlSet002Services 시작 프로그램 폴더 c:Documents and SettingsAdministrator시작 메뉴프로그램Startup 보안 프로그램 프로세스 강제종료 윈도우 시스템 유틸리티 프로세스 강제종료 레지스트리 수정으로 보안 프로그램의 윈도우 서비스 비활성화 레지스트리 수정으로 윈도우 보안센터 비활성화 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center 하위 키에 존재하는 백신, 방화벽, 윈도우 업데이트 서비스 관련 키 설정 변경 2. 자동 실행 (2) 3. 보안 프로그램 무력화 (1)
  • 6. 6 레지스트리 수정으로 윈도우 방화벽 우회 - HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess ParametersFirewallPolicy 하위 키로 자신의 프로세스명을 등록 레지스트리 수정으로 윈도우 시스템 유틸리티 실행 불가 - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies 하위키에 "DisableCMD“와 "DisableRegistryTools“ 키 생성 파일 속성을 “숨김”과 “시스템 파일”로 설정 윈도우 폴더 옵션 설정 변경 - “숨김 파일 및 폴더 표시 안 함” 로 변경 “알려진 파일 형식의 파일 확장명 숨기기” 로 변경 - “보호된 운영 체제 파일 숨기기” 로 변경 3. 보안 프로그램 무력화 (2) 4. 파일 은폐 1. 악성코드 특성
  • 7. 7 특정 TCP 또는 UDP 포트를 이용 인터넷 익스플로러의 스레드(Thread) 또는 핸들(Handle)로 인젝션 후 이용 익스플로러 (explorer.exe)의 스레드로 인젝션 후 이용 특정 프로세스의 스레드로 인젝션 후 이용 파일 명칭이 윈도우 시스템 파일과 유사 정상 프로그램의 파일 명칭과 유사 정상 파일 명칭과 동일하나 파일 위치가 다른 경로에 존재 파일의 등록정보 미존재 5. 네트워크 연결 6. 사회 공학 기법 사용 7. 파일의 실행 압축 또는 암호화 파일이 정상적인 컴파일 상태가 아닌 특정 패커(Packer)로 파일을 실행 압축 또는 특정 크립터(Crypter)로 파일 자체를 암호화 함. 1. 악성코드 특성
  • 9. 9 • 예전 - V3를 설치한 시스템에서 발생하는 오류 분석 • 최근 - 악성코드에 감염된 것으로 의심되는 시스템에서 의심 파일을 수집하기 위한 용도로 분석 1. 안레포트(AhnReport) 2. AhnReport의 이해 2. 안레포트(AhnReport) 버전 - 현재 가장 최신의 안레포트(AhnReport)는 6.1.7.25 버전
  • 10. 10 - 악성코드의 기본적인 특성 인지 - 윈도우 시스템에 대한 기본적인 이해 - 안레포트(AhnReport) 분석으로 감염 확인이 어려운 악성코드도 존재 은폐형 악성코드, 워드 또는 엑셀 매크로 바이러스, 스크립트 바이러스 3. 안레포트(AhnReport) 참고 사항 2. AhnReport의 이해 • 안레포트(AhnReport) 분석 대상 시스템 - 내부 네트워크에 과다 트래픽을 생성하는 시스템 - 주기적인 네트워크 트래픽 발생 시스템 - 시스템의 급격하게 느려지거나 비정상적인 이상 증상 발생 - 기타 시스템에서 알 수 없는 오류가 발생하는 경우
  • 12. 12 • 시스템 확인 - 네트워크 내에서 감염이 의심되는 시스템을 확보 - 해당 시스템을 네트워크로부터 단절 후 일반 사용자의 사용 제한 - 시스템에서 실행 중인 모든 프로그램 종료 • 시스템 조사 - 안티 바이러스 및 안티 스파이웨어 프로그램이 최신 엔진이 적용되어 있는지 확인 - 시스템을 안전모드로 부팅한 후 안티 바이러스 및 안티 스파이웨어 프로그램으로 시스템 전체를 검사 - 시스템을 정상 윈도우 모드로 부팅 후에도 동일한 이상 증상이 발생하는지 확인 - 동일한 이상 증상이 재발할 경우 다양한 시스템 모니터링 도구와 AhnReport로 시스템 분석 1. 안레포트(AhnReport) 실행 전 3. AhnReport의 사용법
  • 13. 13 - 감염으로 의심되는 시스템에서 안레포트(AhnReport)를 실행 - Save 버튼을 클릭하여 로그 생성 및 저장 2. 안레포트(AhnReport) 실행 [안레포트 최초 실행정보] [안레포트 저장] 3. AhnReport의 사용법
  • 14. 14 - 안레포트를 전송에 필요한 기본 정보 입력 - 안레포트를 저장할 위치 선택하여 ZIP 파일로 압축하여 저장 3. 안레포트(AhnReport) 저장 [기본 정보 입력] [저장할 위치 선택] 3. AhnReport의 사용법
  • 15. 15 - 로그 생성 및 저장 진행 - 로그 생성 및 저장이 완료 4. 안레포트(AhnReport) 로그 생성 [저장 진행] [저장 완료] 3. AhnReport의 사용법
  • 16. 16 - 생성된 ZIP 파일의 로그 중 *.arp 확장자의 파일이 시스템 분석에 필요한 로그 - *.arp 파일을 메모장 또는 텍스트 편집기로 실행 후 로그 분석 진행 5. 안레포트(AhnReport) 로그 생성 완료 [생성된 로그 확인] [로그를 메모장을 이용해 실행] 3. AhnReport의 사용법
  • 18. 18 • 시스템 정보 확인 - 운영체제 정보와 패치 그리고 서비스팩 설치 여부 확인 - 설치되어 있는 V3와 SpyZero 엔진 버전 확인 • 시스템 분석 - 검역소 정보를 확인하여 동일한 악성코드의 재감염 증상이 있는지 확인 - 실행 중인 프로세스 중 의심스러운 파일이 있는지 확인 잘못된 파일명, 잘못된 경로에 존재하는 파일, 사용자 계정으로 실행되는 파일 등록 정보가 없는 파일 - 시작 프로그램에 등록되어 있는 파일 중 의심스러운 파일이 있는지 확인 HKLM/~/Run, HKCU/~/Run, Shell, WinLogon 에 등록된 잘못된 파일 - 네트워크 포트를 오픈하여 외부로 통신하는 의심스러운 파일이 있는지 확인 다수의 포트를 오픈, 외부 네트워크로 접속하는 파일 1. 안레포트(AhnReport) 로그 분석 4. AhnReport 로그 분석
  • 19. 19 - 운영 체제와 패치 정보, V3와 SpyZero의 엔진 버전 확인 - 검역소에 보관 중인 파일 확인 4. AhnReport 로그 분석 2. 시스템 정보 확인 [운영 체제와 엔진 정보] [검역소 확인]
  • 20. 20 - 실행 중인 프로세스 중 잘못된 파일명, 경로가 잘못된 파일이 있는지 확인 - 사용자 계정의 권한으로 실행 중인 파일 중 파일 등록 정보가 없는 프로세스가 있는지 확인 3. 실행 중인 프로세스 분석 [실행 중인 프로세스] [권한과 등록정보] 4. AhnReport 로그 분석
  • 21. 21 4. 시작 프로그램 분석 [시작 프로그램 확인] 4. AhnReport 로그 분석 - RegRun(Machine) HKLM/~/Run에 등록된 파일 - RegRun(사용자 계정명) HKCU/~/Run에 등록된 파일 - Shell(Machine) 기본 값으로 Explorer.exe만 등록되어 있음 - WinLogon(User) 기본 값으로 userinit.exe만 등록되어 있음
  • 22. 22 - 다수의 네트워크 포트를 오픈하는 파일 - 외부 네트워크로 접속을 시도하는 파일 5. 네트워크 분석 [네트워크 확인] 4. AhnReport 로그 분석