Process Explorer를 이용한 악성코드 대응법!

안녕하세요!
오늘 알아 볼 tool은 Process Explorer입니다! ^^
이 프로그램은 Windows 운영체제에 대해 매우 해박한 지식을 갖고 계시기로 매우 유명한 분이죠? 
sysinternals(현재는 Microsoft사에
 인수됨)의 Mark Russinovich씨가 만든 tool로서 최고의 프로세스 관리 유틸리티라 생각됩니다! (사담이이지만, 저희 ASEC 대응팀원중 한분은 이분을 굉장히 존경하십니다.^^;)

이상 간략한 제작자에 대한 소개는 접고 바로 tool 소개를 하도록 하겠습니다!

Process Explorer는 앞서 말씀드린바와 같이 프로세스를 관리할 수 있는 프로그램입니다. 다시 말해, 현재 실행중인 프로세스를 파악하고 해당 프로세스의 우선권을 변경, 정지, 강제 종료 등의 작업을 지원하여 실제 악성코드 분석시 유용하게 쓰이고 있는 프로그램이죠.

▶   프로그램 장점

▶   프로그램 다운로드

프로그램은 Microsoft사에서 무료로 배포하고 있으며 아래 링크된 URL에서 다운로드 가능합니다.

2010년형 Process Explorer가 나왔네요. ^^

▶   프로그램 실행

설치 후 프로그램을 실행시키면 아래와 같이 알록달록 형형색색의 프로세스를 확인 할 수 있습니다.
(저희 회사 제품인 V3 SiteGuard가 실행중인게 보이네요.^^)

위의 그림에서 나타내는 각각의 색상은 나름의 의미를 내포하고 있는데요.
[ Options -> Configure Highlighting… ] 에서 각각의 내용을 확인 할 수 있으며 이 부분은 개인 설정이
가능합니다.

이제 Process Explorer가 가진 옵션에 대해 살펴볼 차례인데요. 워낙 가진 기능이 다양하므로 세부적인 설명은 생략하고 이 글을 진행함에 있어 필요한 부분만 설명하도록 하겠습니다. ^^

앞서 설명했듯이 Process Explorer에서는 프로세스에 인젝션된 DLL/Handles 정보를 볼 수 있습니다.
[ View -> LovwerPane View -> DLLs / Handles 선택 ]

프로세스에 인젝션된 DLL이 보이시죠?

또한 Process Explorer는 CPU 점유율과 메모리 사용량 등을 그래프로 보여줍니다.
[ View -> Systemimformation…]

▶   Process Explorer로 악성코드를 잡자!

이제 악성코드에 대처 할 수 있는 방법을 살짝 알아볼까요?
Process Explorer의 장점중에 하나인 프로세스 Kill 기능을 이용해서 말이죠!

시연에 사용될 파일은 VBS 스크립트의 형태로 실행되며, VBS/Autorun 로 진단되는 악성코드입니다.

VBS 스크립트 실행을 위해서는 쉽게 설명드리면 wscript.exe 의 도움을 받아야 된다고 생각하시면 됩니다.
따라서, 프로세스상에 아래의 그림과 같이 wscript.exe 프로세스가 실행 중인 것을 확인하실 수 있습니다.

물론 wscript.exe 프로세스가 있다고 모두 악성코드가 실행중인 것은 아닙니다!!
정상적으로 사용되는 파일이니 Windows에 기본적으로 존재하겠죠?
단지, 악성코드가 이를 이용하는 것이라고 보시면 됩니다. ^^

어떠한 스크립트 파일이 연결되어 동작중인지 확인하기 위해서는 해당 프로세스에서 우클릭하셔서 [Properities..]을 클릭하시면 실행중인 프로세스에 대한 정보를 확인하실 수 있습니다.

[Image] 탭에서 Command lin 항목을 보시면 연결되어 실행되는 파일의 경로 확인이 가능합니다.

이 경우, 먼저 실행중인 wscript.exe 프로세스를 종료시키고 해당 파일을 삭제하면 문제는 해결되겠죠?


또 한 [ 실행-> msconfig ] 입력하면 시스템 구성 유틸리티를 확인 할 수 있습니다.

악성코드의 특징중에 하나가 시작프로그램에 자신을 등록시키는 것인데 이 녀석도 그런 특성을 가졌군요.

해당 경로의 악성코드를 삭제하고 관련 레지스트리 값을 삭제해줍니다.


레지스트리 삭제~^^


이상으로 Process Explorer의 사용법과 이를 이용한 악성코드 대응법을 알아보았습니다!

악성코드에 대해 V3가 진단한다면 이와 같은 조치는 V3 에서 처리 해주겠지만 하루 하루 수많은 악성코드들이 생격나고 변종이 많아지니 수동으로 조치하는 법도 알아두면 좋을거라 생각됩니다. ^^
그럼 오늘 하루도 봄향기 가득한 하루되시구요~ 행복하세요 ^_^

 

Categories:악성코드 정보

0 0 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments