*2008년1월호진짜



Similar documents
ActFax 4.31 Local Privilege Escalation Exploit

07_alman.hwp

Windows 8에서 BioStar 1 설치하기

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

PART

Part Part

£01¦4Àå-2

½ºÅ丮ÅÚ¸µ3_³»Áö

272*406OSAKAÃÖÁ¾-¼öÁ¤b64ٽÚ

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

Ä¡¿ì³»ÁöÃÖÁ¾

Microsoft Word - src.doc

untitled

<30352D30312D3120BFB5B9AEB0E8BEE0C0C720C0CCC7D82E687770>

歯mp3사용설명서

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

SBR-100S User Manual

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

고객 카드

Consider the USB Malicious Program.hwp

System Recovery 사용자 매뉴얼

온라인등록용 메뉴얼

<BBE7B0EDB3EBC6AE5FC7E3BAEAB0D4C0D32E687770>

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지


BEA_WebLogic.hwp

Xcovery 사용설명서

PowerPoint Template

13.3多语言说明书 cdr

로거 자료실

SIGIL 완벽입문

1

ThinkVantage Fingerprint Software

MF5900 Series MF Driver Installation Guide

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

슬라이드 1

MF Driver Installation Guide

#HNS-WI 북한의심 APT 공격에대한 Kaspersky 의분석정리

I. KeyToken USB 소개 1. KeyToken 개요 KeyToken 은공인인증서를안전하게저장하고또안전하게사용하기위한보안제품으로, 한국인터넷진흥원 (KISA) 이 KeyToken 의보안토큰에대한구현적합성을평가하고인증한 제품입니다. 2. KeyToken USB 그

untitled

08_spam.hwp

컴퓨터관리2번째시간

PowerPoint 프레젠테이션

Windows Server 2012

2 전개과정 지도계획 주기 주제 활동 방법 및 내용 성취수준 주제발현 브레인스토밍 유목화 1 한식 알아보기 요리법 연구하고, 학고역할분담 조리 계획하기 생명과 음식 영화감상하기 생명과 음식 토론하기 한식 식사예절 알아보기 6 음식 주제발현, 브레인스토밍, 유


2015 경제ㆍ재정수첩

untitled

untitled

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

슬라이드 1


Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

Internet Explorer 11 자동업데이트방지 사용자가이드 작성일 : Version 1.0

User Guide

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법 네트워크 드라이브에 접속하여

한국에너지기술연구원 통합정보시스템설치방법설명서 한국에너지기술연구원 지식정보실 - 1 -

?

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

Mango-IMX6Q mfgtool을 이용한 이미지 Write하기

var answer = confirm(" 확인이나취소를누르세요."); // 확인창은사용자의의사를묻는데사용합니다. if(answer == true){ document.write(" 확인을눌렀습니다."); else { document.write(" 취소를눌렀습니다.");

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

IRISCard Anywhere 5

B.3 JDBC 설치 JDBC Java DataBase Connectivity 는자바에서 DBMS의종류에상관없이일관된방법으로 SQL을수행할수있도록해주는자바 API Application Program Interface 다. 이책에서는톰캣과 SQL Server 간의연결을위

Table of Contents 1. 분석 유포경로 악성파일분석 드롭퍼 A 분석 드롭퍼 B 분석 페이지 2 / 17

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

Microsoft PowerPoint - chap01-C언어개요.pptx

H3250_Wi-Fi_E.book

행자부 G4C

Microsoft PowerPoint - ch06_악성 코드 [호환 모드]

Microsoft PowerPoint - XUSB_제품메뉴얼_140206

MF3010 MF Driver Installation Guide

<BFB9BCFAB0E6BFB5C1F6BFF8BCBEC5CD5F BFB9BCFAB0E6BFB520C4C1BCB3C6C FB3BBC1F628C3D6C1BEBBF6BAAFC8AF292E706466>

CPU 점유율이 100%시 대처방법

Microsoft Word - Korean_뷰어 메뉴얼_공용_ADVR&SWi_.doc

Microsoft Word - php05.doc

슬라이드 1

±¹Á¦ÆòÈŁ4±Ç1È£-ÃÖÁ¾

Studuino소프트웨어 설치

XCom v2.x User's Manual

Microsoft PowerPoint - [Practice #1] APM InstalI.ppt

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

게시판 스팸 실시간 차단 시스템

<요 약> 1. 법ㆍ제도 동향 - 개인정보 보관기간 3년에서 1년으로 단축 - 미래부, 데이터센터 보안 수준 점검 계획 2. 보안위협 동향 - Dropper, Downloader 형태의 악성코드 감염 주의 - 5단 설치 첨단 스텔스 악성코드 '레긴', 6년간 활동 3.

<C6EDC1FDBABB2DB5F0C0DAC0CEBAD0BEDF2E687770>

문서의 제목 나눔고딕B, 54pt

<4D F736F F F696E74202D20BFC0B7F920B4EBC3B320B8DEB4BABEF328C7D8C7C7BFA1B5E029205BC8A3C8AF20B8F0B5E55D>

< F69736F6E696E6720BEC7BCBAC4DAB5E520B0A8BFB020BBE7B0EDBAD0BCAE20BAB8B0EDBCAD2E687770>

SmartUpdaterPlus 설치 설치파일 다운로드 설치파일 다운로드하여 실행하여 순서에 따라 스마트 업데이트 플러스를 설치합니다. [스마트 업데이트 플러스 다운로드] 버튼을 클릭하여 설치파일 다운로드합니다. 소프트웨어 사용권에 동의하기를 누릅니다. 압축을 해제합니다


WebRTC 플러그인이 필요없는 웹폰 새로운 순수 VoIP 클라이언트 기반의 최신 WebRTC 기술은 기존 레가시 자바 클라이언트를 대체합니다. 새로운 클라이언트는 윈도우/리눅스/Mac 에서 사용가능하며 Chrome, Firefox 및 오페라 브라우저에서는 바로 사용이

작성자 : 기술지원부 김 삼 수

Untitled-3

제이쿼리 (JQuery) 정의 자바스크립트함수를쉽게사용하기위해만든자바스크립트라이브러리. 웹페이지를즉석에서변경하는기능에특화된자바스크립트라이브러리. 사용법 $( 제이쿼리객체 ) 혹은 $( 엘리먼트 ) 참고 ) $() 이기호를제이쿼리래퍼라고한다. 즉, 제이쿼리를호출하는기호

PowerPoint 프레젠테이션

Transcription:

3. USB 이동식저장장치를이용하여전파되는악성코드분석 1. 개 요 최근 USB 이동식 저장장치를 통하여 전파되는 악성코드에 대한 감염피해가 증가하고 있어 주의가 필요하다. 이번에 확인된 ntion.exe 악성코드는 감염 시, 특정 사이트에 접속하여 추가 악성코드를 다운로드하는 Dropper 기능을 수행한다. 또한, 웹 서버가 감염될 경우는 웹 서버내의 웹 페이지가 변조되어 해당 웹서버를 방문하는 사용자들에게도 피해를 발생시킬 수 있다. 대다수 사용자들이 파일이동 및 저장을 위하여 USB 저장매체를 이용하고 있으므로, 부주의한 USB 사용으로 인한 감염피해는 앞으로도 많이 발생할 것으로 보인다. 사용자는 이동저장 매체를 백신으로 주기적으로 점검하고 USB자동실행 기능을 해제하여 피해를 사전예방 하여야 하겠다. 2. USB 이동식 저장장치를 이용한 악성코드 전파 방법 윈도우에서는 사용자 편의를 위하여 USB 이동식 저장장치 또는 CD를 삽입하였을 경우, 자동으로 사용자가 원하는 특정 프로그램이 실행되도록 할 수 있다. 최근 이 기능이 악성코드 감염에 악용되는 경우가 많이 발생하고 있다. 윈도우의 autorun.inf 기능 소개 윈도우에서는 CD나 USB를 이용한 이동저장매체가 시스템에 연결될 때 autorun.inf 파일을 이용하여 특정 프로그램을 자동으로 실행시킬 수 있다. 일반적으로 사용자가 CD, 또는 USB 이동식 저장장치를 통하여 배포된 프로그램을 자동으로 설치할 수 있도록 하기 위함 이 기능을 이용하여 전파활동을 하는 악성코드는 이동식 USB 드라이브를 찾아, 해당 드라이브 내에 악성코드 복제파일을 생성하며, 또한 autorun.inf 파일을 생성하여 악성코드를 실행하는 코드를 삽입한다. 사용자가 USB 이동식 저장장치를 사용할 경우, autorun.inf 파일이 자동으로 실행되어, 사용자 PC는 자동으로 감염된다. 인터넷 침해사고 동향 및 분석 월보 20

피해유형 예 [그림 1] 이동식 디스크를 이용한 악성코드 전파 1 사용자는 USB 전파 웜에 감염된 시스템에서 자신의 이동식 디스크를 사용 2 USB 전파 웜에 감염된 이동식디스크를 다른 시스템에서 사용 3 새로운 시스템의 감염 3. 상세분석 감염 시 다른 추가 악성코드를 다운로드 하거나, 감염 시스템 내에 저장되어 있는 웹 페이지에 악성 스크립트를 삽입한다. 또한, 안티 바이러스 프로그램 종료 등 자기보호 기능도 확인되었다. 악성코드 Dropper 기능 해당 웜의 실행파일을 분석한 결과 원격지로부터 악성코드로 의심되는 실행파일을 다운로드 하는 것으로 관찰되었다. 즉, 타 악성코드를 감염시키는 Dropper 기능을 수행하는 것으로 보인다. [그림 2] 악성코드로 의심되는 실행파일들에 대한 정보 08.01.14 현재, 해당 사이트들은 이미 차단조치 되어 접속이 불가함 Part 3 월간특집 21 2008년 1월호

웹 페이지 파일에 스크립트 코드삽입 웜은 감염된 시스템의 모든 디렉토리를 검색하여 웹페이지 파일에 악성 스크립트 코드를 삽입한다. 웹 서버가 감염될 경우, 서비스 중인 웹 페이지 내에 악성 스크립트 코드가 삽입되어 해당 웹서버를 방문하는 사용자들에게 피해를 발생시킬 수 있다. HTM HTML JSP VBS XML SHTML JS PHP [그림 3] 감염된 시스템에서 검색하는 확장자 목록 [그림 4] 삽입된 자바스크립트 코드 특히, 검색된 파일 확장자 중 PHP파일에는 원격으로부터 인자를 전달받는 PHP코드가 삽입된다. [그림 5] 삽입된 PHP 및 자바스크립트 코드 인터넷 침해사고 동향 및 분석 월보 22

파일 생성 웜은 자신을 전파하기 위하여 이동식디스크에 RECYCLER.EXE 라는 이름으로 자신을 복사하고 autorun.inf 파일에 의해 자동실행 될 수 있도록 구성한다. [그림 6] 감염된 이동식 디스크 사용자는 감염된 이동식 디스크를 사용하기 위하여 탐색기에서 더블클릭 또는 자동실행을 선택할 때 복사된 웜(RECYCLER.EXE)이 활동을 시작하게 된다. 특히, 시스템에 이동식 디스크가 연결되어 있지 않으면 아래와 같은 경고 창을 지속적으로 발생시켜 시스템 사용 시 불편을 초래한다. [그림 7] 이동식 디스크가 연결되지 않은 경우 또한, 웜은 감염된 시스템에 자신의 복사본인 ntion.exe 와 Explorer 프로세스에 인젝션 되는 ntion.dll 을 생성한다. - C:\Windows\ntion.exe - C:\Windows\system32\ntion.dll - C:\Windows\system32\drivers\ntion.exe [그림 8] 감염된 시스템에 생성되는 악성코드들 Part 3 월간특집 23 2008년 1월호

레지스트리 변경 웜은 시스템 재부팅 후 지속적으로 동작을 위하여 Explorer 프로세스에 자신을 인젝션 시키도록 레지스트리를 변경한다. - HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/ Run/DataAccess (C:\Windows\ntion.exe) - HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/ Run/WinFile (C:\Windows\system32\drivers\ntion.exe) [그림 9] 재부팅 후 활동을 위한 Explorer 레지스트리 등록 자기보호 기능 감염된 시스템에 안티 바이러스 프로그램이 동작하는 경우 웜은 해당 프로세스를 강제로 종료시키며, 자신의 동작을 숨기기 위하여 레지스트리 편집기(REGEDIT.EXE)와 시스템 편집기 (MSCONFIG.EXE) 등의 모니터링 도구와 안티 바이러스 프로그램의 실행을 방해한다. OfficeScanNT Norton ZoneAlarm McShield V3MonSvc MskService McTaskManager Symantec Core LC kavsvc (Kaspersky) [그림 10] 안티 바이러스 프로세스의 종료 인터넷 침해사고 동향 및 분석 월보 24

KAV.EXE CCAPP.EXE NVSVC32.EXE SPIDERUI.EXE UPGRADE.EXE SPIDERNT.EXE MONSVCNT.EXE MONSYSNT.EXE TRIALREG.EXE SUPDATE.EXE AUTORUNS.EXE ICESWORD.EXE MCSHIELD.EXE REGEDIT.EXE MSCONFIG.EXE [그림 11] 특정 프로그램 검색 웜은 감염된 시스템에서 자신을 숨기기 위하여 숨김 파일을 표시하지 않도록 윈도우즈 탐색기의 폴더속성을 지속적으로 변경시킨다. [그림 12] 폴더속성 변경 - HKLM/SOFTWARE/Microsoft/CurrentVersion/Explorer/Advanced/ Folder/Hidden/SHOWAL/CheckedValue (0) Part 3 월간특집 25 2008년 1월호

4. 예방방법 (USB 저장장치 자동실행 방지) 윈도우즈의 특정 서비스 항목을 사용하지 않는 것으로 감염된 이동식 디스크에서 악성코드가 실행되는 것을 막을 수 있다. 1 시작 설정 제어판 성능 및 유지관리 관리도구 서비스로 들어가 Shell Hardware Detection 을선택 [그림 13] ShellHWDetection 서비스의 속성 2 1의 일반탭 에서 시작유형을 사용안함으로 설정한다. [그림 14] ShellHWDetection 서비스의 속성변경 3 재부팅 한다. 인터넷 침해사고 동향 및 분석 월보 26

5. 감염 시 조치방법 1 부팅 시 F8을 눌러 안전모드를 선택한다. [그림 15] 안전모드 선택 화면 2 아래 윈도우즈 하위 폴더에서 악성코드 파일들을 삭제한다. 폴더에서 삭제할 파일들 - C:\Windows\ntion.exe - C:\Windows\system32\ntion.dll - C:\Windows\system32\drivers\ntion.exe [그림 16] 악성코드 삭제 Part 3 월간특집 27 2008년 1월호

3 시작 실행 에서 regedit 를 입력한다. [그림 17] 레지스트리 편집기 실행 4 아래의 레지스트리 항목들을 삭제 한다. [그림 18] 레지스트리 삭제 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\policies\Explore\Run\DataAccess - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\policies\Explore\Run\WinFile 5 윈도우 탐색기의 폴더 옵션을 원래의 상태로 복원시킨다. [그림 19] 레지스트리 복원 인터넷 침해사고 동향 및 분석 월보 28

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Explorer\ Advanced\Folder\Hidden\SHOWALL\CheckedValue 해당 값을 0으로 설정하는 경우 숨김 파일이 보이지 않고, 1로 설정하는 경우 숨김 파일을 보이도록 설정한다. 5 재부팅 한다. Part 3 월간특집 29 2008년 1월호

2024 © docsplayer.org 개인정보보호 | 약관 | 지원