침해지속아티팩트 JK Kim @pr0neer proneer@gmail.com
개요 1. 루트킷 2. 악성코드선호경로 3. 비정상파일 4. 슬랙공간 5. 시간조작 6. 자동실행목록 7. 작업스케줄러 8. 이벤트로그 Page 2/61
루트킷 Page 3/61
루트킷 루트킷소개 시스템상에서탐지되지않도록만들어진프로그램 루트킷종류 부트킷 사용자레벨루트킷 커널레벨루트킷 탐지방법 시그니처기반 행위기반 차이점기반 무결성체크 메모리덤프 Page 4/61
루트킷 루트킷분석도구 다양한루트킷탐지도구 http://grandstreamdreams.blogspot.kr/2014/01/advanced-anti-rootkit-tool-list-mostly.html GMER http://www.gmer.net/ Rootkit Removal SOPHOS http://www.sophos.com/en-us/products/free-tools/sophos-anti-rootkit.aspx TDSSKiller Kaspersky http://support.kaspersky.com/5350?el=88446 aswmbr Avast http://public.avast.com/~gmerek/aswmbr.htm Rootkit Revealer Windows Sysinternals http://technet.microsoft.com/ko-kr/sysinternals/bb897445.aspx Page 5/61
루트킷 루트킷탐지도구 GMER, http://www.gmer.net/ 검사항목 숨겨진프로세스 숨겨진스레드 숨겨진모듈 숨겨진서비스 숨겨진파일 숨겨진디스크섹터 (MBR) 숨겨진대체데이터스트림 (ADS) 숨겨진레지스트리키 SSDT 드라이버후킹 IDT 드라이버후킹 IRP 호출드라이버후킹 인라인후킹 Page 6/61
악성코드선호경로 Page 7/61
악성코드선호경로 선호경로? 흔하지않은, 주로사용하지않는경로에파일생성 AV 실시간탐지를우회하기위한목적 사용자에게인지되지않고장기간은닉하기위한목적 분석방법 선호경로를수시로모니터링 선호경로에위치한실행파일을수집하여분석 특정경로에실행파일이위치할경우, 99% 악성코드일가능성 Page 8/61
악성코드선호경로 주요선호경로 시스템폴더 %SystemRoot\ %SystemRoot\System\ %SystemRoot\System32\ %SystemRoot\System32\dllcache\ %SystemRoot\System32\drivers\ WoW64 %SystemRoot\SysWOW64\ %SystemRoot\SysWOW64\dllcache\ %SystemRoot\SysWOW64\drivers\ Page 9/61
악성코드선호경로 주요선호경로 사용자프로파일폴더 %SystemDrive%\Default\ %SystemDrive%\Public\ %SystemDrive%\<USER>\ 사용자데이터폴더 %UserProfile%\AppData\ %UserProfile%\AppData\Local\ %UserProfile%\AppData\Roaming\ 휴지통폴더 %SystemDrive%\$Recycle.Bin\ Page 10/61
악성코드선호경로 주요선호경로 프로그램데이터폴더 %SystemDrive%\ProgramData\(%SystemDrive%\All Users\) 시스템볼륨정보폴더 %SystemDrive%\System Volume Information\ 임시폴더 %UserProfile%\AppData\Local\Temp\ %SystemRoot%\Temp\ 인터넷캐시폴더 %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\ Page 11/61
악성코드선호경로 주요선호경로 액티브X 폴더 %SystemRoot%\Downloaded Program Files\ 시작프로그램폴더 %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ 작업스케줄러폴더 %SystemRoot%\Tasks\ 알려진폴더 %SystemDrive%\Intel\ Page 12/61
비정상파일 Page 13/61
비정상파일 비정상파일? 파일메타정보조작을통해은닉 보안솔루션을우회하기위한목적 단순한파일명이나확장자기반의탐지룰을우회하기위한목적 분석방법 생성되는파일이악성패턴을갖는지검사 네트워크로전송되는파일이악성패턴을갖는지검사 Page 14/61
비정상파일 비정상파일패턴 한글자파일명 a.gif, b.jpg, g.exe, v.exe, 랜덤한문자나숫자로만이뤄진파일명 hdpfoi.exe, yyr.exe, 3378.exe, 499389.exe, 확장자변경으로시그니처불일치 abc.jpg, gcc.gif PE 파일 대체데이터스트림 (ADS, Alternative Data Stream) C:\Windows\System32:scvhost.exe Page 15/61
비정상파일 비정상파일패턴 svchost.exe 와유사한악성파일명 svchost svch0st svchosts scvhost svhost svohost svchest svchost32 suchost svshost svchast svcnost syshost svchcst svchost svchon32 svchost2 Svcchost sxhost svchost31 syschost svchîst synchost svcehost svphost svchostdll svvhosti sach0st swchost servehost svsh0st svchsot scchostc snvhost scchost svvhost svahost svcinit ssvch0st svchots svdhost svchostv scvchusts svchostxi st#host svchost3 svchostc32 szchostc svehost srvchost svchosts32 scvhosv ssvichosst svrhost svichosst svchoxt svchost_cz schost ssvchost sv±hest shhost svchostt svchosf svchostþ sachostp sachosts sachostx swhost scvh0st svghost svchostms svchostxxx suchostp suchosts smsvchost svchost0 svchost64 svchöst s_host svchost svphostu svchosting sachostc sachostw svshoct svchpst svohcst scanost schosts svcroot svschost scvhosts http://www.hexacorn.com/blog/2013/07/04/the-typographical-and-homomorphic-abuse-of-svchost-exe/ Page 16/61
은닉데이터 Page 17/61
은닉데이터 숨긴 / 암호화파일 사용자의의도적인행위가포함됐을가능성 숨긴파일탐색 FAT 디렉터리엔트리의속성값이 0x02를갖는파일탐색 exfat 파일디렉터리엔트리의속성값이 0x02를갖는파일탐색 NTFS $STANDARD_INFORMATION 속성의플래그값이 0x0002를갖는파일탐색 암호화된파일탐색 NTFS $STANDARD_INFORMATION 속성의플래그값이 0x4000을갖는파일탐색 레지스트리의암호화된 private key 복호화 ( 무차별대입 ) EFS0.TMP 파일조사 Page 18/61
은닉데이터 메타데이터조작 시그니처변조 파일시그니처와확장자가일치하는지검사 윈도우는확장자기반의애플리케이션바인딩사용 확장자를변경해파일을은폐하거나사용자의클릭유도!! 확장자위치 FAT 디렉터리엔트리 exfat 파일이름확장디렉터리엔트리 NTFS $FILE_NAME 속성 Page 19/61
은닉데이터 메타데이터조작 $Boot $Boot는부트섹터의내용을저장 (VBR의부트섹터위치를가르킴 ) $Boot 파일크기는제한이없음 크기를늘려데이터은닉 $BadClus $BadClus 는배드섹터가포함된클러스터를관리 정상클러스터를 $BadClus 에등록한후의도적인데이터저장 Page 20/61
은닉데이터 파일시스템상의낭비되는공간 FAT12/16/32 예약된영역의낭비되는섹터 (0,1,2,6,7,8 섹터제외 ) 조사 FSINFO 섹터 (1,7 섹터 ) 의사용되지않는영역조사 추가부트코드섹터 (2,8 섹터 ) 영역조사 exfat VBR 의확장부트코드영역 (1~8 섹터 ) 와예약된영역 (10 섹터 ) 분석 백업 VBR 영역조사 NTFS VBR의낭비되는영역조사 MFT 레코드 12~15번영역조사 백업 VBR 영역조사 HPA(Host Protected Area), DCO(Device Configuration Overlay) 조사 Page 21/61
은닉데이터 슬랙공간 슬랙이란? 물리적인구조와논리적인구조의차이로발생하는낭비되는공간 의도적으로삽입한데이터나이전파일의데이터가남아있을가능성 파일기반의슬랙이외에 DB 레코드슬랙, 파일시스템구조슬랙등다양한부분조사 슬랙종류 MBR 슬랙 램슬랙, 드라이브슬랙 파일시스템슬랙 볼륨슬랙 MFT 슬랙, INDX 슬랙 Page 22/61
은닉데이터 MBR 슬랙 M B R MBR Slack Volume #1 Volume #2 MBR 과첫번째볼륨사이에낭비되는공간 윈도우 2K/XP 과거 FDISK 는트랙할당방식 62 섹터의빈공간발생 윈도우 Vista 이후 최근 1MiB 할당방식 2047 섹터의빈공간발생 Page 23/61
은닉데이터 램 / 드라이브 / 파일시스템 / 볼륨슬랙 Cluster (2048 Bytes) File Slack RAM Slack Drive Slack sector 1 sector 2 sector 3 sector 4 used area wasted area cluster cluster cluster cluster cluster cluster cluster File System Slack Partition 1 Partition 2 Partition 3 Volume Slack Page 24/61
은닉데이터 MFT 슬랙 NTFS 파일시스템추상화구조 Volume Boot Record Master File Table Data Area Volume Boot Record Master File Table Data Area Master File Table Data Area Page 25/61
은닉데이터 MFT 슬랙 MFT 레코드 VBR MFT Record 0 MFT Record 1 MFT Record 2 : : MFT Record 15 MFT Record 16 : : 메타데이터파일 번호 이름 설명 0 $MFT MFT에대한 MFT Entry 1 $MFTMirr $MFT 파일의일부백업본 2 $LogFile 메타데이터 (MFT) 의트랜잭션저널정보 3 $Volume 볼륨의레이블, 식별자, 버전등의정보 4 $AttrDef 속성의식별자, 이름, 크기등의정보 5. 볼륨의루트디렉터리 6 $Bitmap 볼륨의클러스터할당정보 7 $Boot 볼륨이부팅가능할경우부트섹터정보 8 $BadClus 배드섹터를가지는클러스터정보 9 $Secure 파일의보안, 접근제어와관련된정보 10 $Upcase 모든유니코드문자의대문자 11 $Extend $ObjID, $Quota, $Reparse points, $UsnJrnl 등의추가적인파일의정보를기록하기위해사용 Data Area 12 15 미래를위해예약 16 - 포맷후생성되는파일의정보를위해사용 - $ObjId 파일고유의 ID 정보 ( Windows 2000 - ) - $Quota 사용량정보 ( Windows 2000 - ) - $Reparse Reparse Point 에대한정보 ( Windows 2000 - ) - $UsnJrnl 파일, 디렉터리의변경정보 ( Windows 2000 - ) Page 26/61
은닉데이터 MFT 슬랙 0x0000 MFT 레코드구조 MFT Record Header Fixup Array Attributes End Marker Unused Space (Slack) 0x0400 Page 27/61
은닉데이터 MFT 슬랙 MFT 레코드속성 속성식별값 속성이름 설명 16 0x10 $STANDARD_INFORMATION 파일의생성. 접근. 수정시간, 소유자등의일반적인정보 32 0x20 $ATTRIBUTE_LIST 추가적인속성들의리스트 48 0x30 $FILE_NAME 파일이름 ( 유니코드 ), 파일의생성. 접근. 수정시간 64 0x40 $VOLUME_VERSION 볼륨정보 (Windows NT 1.2 버전에만존재 ) 64 0x40 $OBJECT_ID 16바이트의파일, 디렉터리의고유값, 3.0 이상에서만존재 80 0x50 $SECURITY_DESCRIPTOR 파일의접근제어와보안속성 96 0x60 $VOLUME_NAME 볼륨이름 112 0x70 $VOLUME_INFORMATION 파일시스템의버전과다양한플래그 128 0x80 $DATA 파일내용 144 0x90 $INDEX_ROOT 인덱스트리의루트노드 160 0xA0 $INDEX_ALLOCATION 인덱스트리의루트와연결된노드 176 0xB0 $BITMAP $MFT와인덱스의할당정보관리 192 0xC0 $SYMBOLIC_LINK 심볼릭링크정보 (Windows 2000+) 192 0xC0 $REPARSE_POINT 심볼릭링크에서사용하는 reparse point 정보 (Windows 2000+) 208 0xD0 $EA_INFORMATION OS/2 응용프로그램과호환성을위해사용 (HPFS) 224 0xE0 $EA OS/2 응용프로그램과호환성을위해사용 (HPFS) 256 0x100 $LOGGED_UTILITY_STREAM 암호화된속성의정보와키값 (Windows 2000+) Page 28/61
은닉데이터 MFT 슬랙 0x0000 MFT 레코드구조 일반파일 MFT Record Header Fixup Array $STANDARD_INFORMATION $FILE_NAME $DATA Resident Data (0 ~ 600 Bytes) End Marker Unused Space (Slack) 0x0400 Page 29/61
은닉데이터 MFT 슬랙 0x0000 MFT 레코드구조 일반파일 MFT Record Header Fixup Array $STANDARD_INFORMATION $FILE_NAME $DATA (5?? Bytes) Resident Data 추가!!! End Marker 0x0400 Page 30/61
은닉데이터 MFT 슬랙 0x0000 MFT 레코드구조 일반파일 MFT Record Header Fixup Array Cluster DATA (>5?? Bytes) $STANDARD_INFORMATION $FILE_NAME $DATA End Marker ($DATA) 0x0400 Page 31/61
은닉데이터 MFT 슬랙 0x0000 MFT 레코드구조 폴더 MFT Record Header Fixup Array $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT ($BITMAP) End Marker Unused Space (Slack) 0x0400 Page 32/61
은닉데이터 MFT 슬랙 0x0000 MFT 레코드구조 폴더 MFT Record Header Fixup Array $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT 파일추가!! ($BITMAP) End Marker Unused Space (Slack) 0x0400 Page 33/61
은닉데이터 MFT 슬랙 0x0000 MFT 레코드구조 폴더 MFT Record Header Fixup Array $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT $INDEX_ALLOCATION 파일계속추가!! ($BITMAP) End Marker 0x0400 Page 34/61
은닉데이터 MFT 슬랙 0x0000 MFT 레코드구조 폴더 MFT Record Header Fixup Array $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT $INDEX_ALLOCATION Cluster Index Node Header Index Entry Index Entry Index Entry Index Entry Index Entry End Marker ($INDEX_ALLOCATION) 0x0400 Page 35/61
은닉데이터 MFT 슬랙 0x0000 MFT 레코드구조 폴더 MFT Record Header Fixup Array $STANDARD_INFORMATION Cluster Index Node Header Index Entry Index Entry $FILE_NAME $INDEX_ROOT $INDEX_ALLOCATION 파일삭제 Index Entry Index Entry Index Entry End Marker ($INDEX_ALLOCATION) 0x0400 Page 36/61
은닉데이터 MFT 슬랙 0x0000 MFT 레코드구조 폴더 MFT Record Header Fixup Array $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT $INDEX_ALLOCATION Cluster Index Node Header Index Entry Index Entry Index Entry Index Entry Index Entry End Marker ($INDEX_ALLOCATION) 0x0400 Page 37/61
은닉데이터 슬랙분석도구 NTFS INDX Parsing williballenthin.com http://www.williballenthin.com/forensics/indx/index.html Windows INDX Slack Parser (wisp) TZWorks https://www.tzworks.net/prototype_page.php?proto_id=21 Page 38/61
은닉데이터 실습 라이브시스템에서슬랙공간분석하기!! MBR 슬랙확인 램 / 드라이브슬랙확인 MFT 슬랙테스트 INDX 슬랙테스트 Page 39/61
은닉데이터 대체데이터스트립 (ADS, Alternate Data Stream) Record Header Fixup Array $STD_INFO $FNA $DATA Main Stream $DATA Alternative Stream End Marker Unused Space MAC 클라이언트를지원하기위한기능으로 $DATA 속성을 2 개이상가질수있음 ADS 속성을고유한이름을통해접근 $DATA 속성의이름을가져야함 ADS 를데이터은닉에활용 악성코드에서활용한예 ADS 활용 \005SummaryInformation \005DocumentSummaryInformation Zone.Identifier Thumbs.db.encryptable Favicon Page 40/61
은닉데이터 대체데이터스트립 (ADS, Alternate Data Stream) 파일에 ADS 생성 $> echo This is ADS > proneer.txt:ads.txt $> type c:\windows\notepad.exe > proneer.txt:ads.exe 폴더에 ADS 생성 $> echo This is attached to directory list > :ads3 $> echo This is malware > C:\Windows\System32:svchost.exe ADS 내용확인 $> more < proneer.txt:ads1 ADS 존재여부확인 $> dir /R [folder] Page 41/61
은닉데이터 대체데이터스트립 (ADS, Alternate Data Stream) ADS 삭제 NTFS 이외의볼륨으로복사 메인스트림삭제 ADS 관련도구이용 (AlternateStreamView, http://www.nirsoft.net/utils/alternate_data_streams.html) Page 42/61
은닉데이터 실습 라이브시스템의 ADS 확인하기!! Zone.Identifier 확인하기 Favicon 확인하기 Page 43/61
시간조작 Page 44/61
시간조작 파일시스템시간조작 악성코드는자신을은닉하기위해시스템파일 (ntdll.dll,rundll32.exe 등 ) 과시간동기화 SetFileTime() API (Kernel32.dll) 생성, 수정, 접근시간만수정가능 MFT 레코드수정시간을이용해쉽게탐지가능 NtSetInformationFile() API (NTDLL.dll) 생성, 수정, 접근, MFT 레코드수정시간모두변경가능 $FILE_NAME 속성을이용해탐지가능 $STANDARD_INFORMATION, $FILE_NAME 속성의 8 개시간을모두수정한경우는? Page 45/61
시간조작 파일시스템시간조작 악성코드는자신을은닉하기위해시스템파일 (ntdll.dll,rundll32.exe 등 ) 과시간동기화 $SIA($STANDARD_INFORMATION_ATTRIBUTE) M, A, C, E $FNA($FILE_NAME) M, A, C, E M (Last Modified Time) : 수정시각 A (Last Accessed Time) : 접근시각 C (Created Time) : 생성시각 E (MFT Entry, Record Modified Time) : MFT 레코드변경시각 Page 46/61
시간조작 파일시스템시간조작탐지 MFT 레코드수정시간으로정렬하여주요시스템파일과동기화된의심파일확인 주요시스템파일의시간정보를기준으로악성코드흔적확인 Page 47/61
시간조작 파일시스템시간조작도구 setmace http://reboot.pro/files/file/91-setmace/ TimeStomp http://www.offensive-security.com/metasploit-unleashed/timestomp Page 48/61
자동실행목록 Page 49/61
자동실행목록 자동실행 (Autoruns) 운영체제혹은응용프로그램시작과함께자동실행되는항목 악성코드는지속적인실행을위해자동실행항목이용 자동실행항목 파일시스템 레지스트리 관련도구 Autoruns 2013 년 8 월현재 189 개자동실행항목점검 Page 50/61
자동실행목록 자동실행분석도구 Autoruns, Autorunsc Windows Sysinternals http://technet.microsoft.com/ko-kr/sysinternals/bb963902.aspx REGA 4n6Tech http://4n6tech.com/pro_kr/info/info.php?pn=1&sn=1&dn=3 RegRipper ASEPs Plugin Corey Harrell https://code.google.com/p/regripper/wiki/aseps Page 51/61
자동실행목록 자동실행분석도구 Autoruns 점검항목 Logon Explorer Internet Explorer Services Scheduled Tasks AppInit DLLs Boot Execute Image Hijacks Known DLLs Winlogon Notifications Winsock Providers LSA Providers Page 52/61
작업스케줄러 Page 53/61
작업스케줄러 작업스케줄러소개 특정이벤트가발생할때또는특정시간에자동화된작업을예약 두가지주요개념 트리거 작업이실행되는조건 동작 작업이실행될때수행하는동작 Page 54/61
작업스케줄러 트리거설정 트리거조건 예약상태 한번, 매일, 매주, 매월등일정에따라 로그온할때 사용자가컴퓨터에로그온할때 시작할때 컴퓨터가시작될때 유휴상태 컴퓨터가유휴상태로전환된후 이벤트상태 특정이벤트가발생할때 작업만들기 / 수정하기에서 작업이만들어지는즉시또는수정될때 터미널서버세션연결 로컬컴퓨터나원격데스크톱연결에서사용자세션이연결될때 터미널서버세션연결해제 로컬컴퓨터 / 원격데스크톱연결에서사용자세션이끊어질때 워크스테이션잠금 컴퓨터가잠길때 워크스테이션잠금해제 컴퓨터잠금이해제될때 Page 55/61
작업스케줄러 트리거설정 트리거고급설정 작업지연시간 작업반복간격 다음기간이상실행되는작업중지 활성화 만료 사용 Page 56/61
작업스케줄러 동작설정 동작상태 프로그램시작 프로그램이나스크립트를시작 전자메일보내기 전자메일을보냄 메시지표시 지정한메시지및제목과함께메시지상자표시 Page 57/61
작업스케줄러 작업스케줄러경로 %SystemRoot%\Tasks AT 명령으로생성한작업위치 바이너리형식 %SystemRoot%\system32\Tasks Schtasks, Taskschd.msc 로생성한작업위치 XML 형식 Page 58/61
작업스케줄러 작업스케줄러관련도구 작업스케줄러생성 / 관리도구 At Internal Windows Command Schtasks Internal Windows Command Taskschd.msc [ 제어판 ] [ 관리도구 ] [ 작업스케줄러 ] Job 파일분석도구 Jobparser Gleeda https://raw.github.com/gleeda/misc-scripts/master/misc_python/jobparser.py Page 59/61
작업스케줄러 실습 라이브시스템에서작업스케줄러생성 / 분석하기!! AT 명령으로작업생성하기 SCHTASKS 명령으로작업생성하기 생성된작업분석하기 Page 60/61
질문및답변 Page 61/61