WFA로 악성코드 감염시간을 알수 있다? Posted By ASEC , 2009년 8월 11일 윈도우 파일 분석툴 Windows File Analyzer(이하 WFA)는 Thumbs.db, Prefetch, index.DAT, Shortcut 파일 등 윈도우에서 제공하는 여러가지 기능의 파일을 분석할 수 있는 유용한 분석툴이다. 먼저, 실험에 앞서 WFA툴을 이용하여 분석할 대상인 Prefetch 파일에 대해 살펴보고 가자~ Prefetch 파일은 윈도우 부팅시, 어플레케이션 실행시에 속도를 개선하기 위해 실행 가능한 파일의 정보를 담고 있는 파일이다. 이 Prefetch 파일은 c:windowsprefetch 폴더에 존재하며, 확장자는 .pf 이다. 이 폴더에 존재하는 파일을 자세히 살펴보면 자주 보던 프로그램들의 실행 파일명을 찾아 볼 수 있다. 그 파일명은 아래와 같은 형식으로 존재한다. [실행 파일명.exe-Hash].pf Hash값은 파일이 존재하는 패스(디렉토리 정보)의 해쉬값이다. 그리고 파일의 수정한 날짜와 만든 날짜 정보도 볼 수 있는데 WFA툴을 이용하면 탐색기에서 볼 수 없는 정보까지 확인이 가능하다. 우리는 이러한 정보를 이용하여 악성코드가 언제 감염되었는지 판단할 수 있는 것이다. 자~ 그럼.. WFA툴이 어떻게 생겼는지 알아보자! 먼저, 아래 주소에서 WFA툴을…
NTFS 파일 시스템의 숨겨진 영역 Posted By ASEC , 2009년 8월 11일 NTFS파일 시스템에는 숨겨진 영역이 있습니다. 우선, 맥킨토시 파일 시스템에 관하여 언급해야 할 것 같습니다. 맥킨토시 파일은 아래와 같이 두 가지 영역이 있습니다. DATA RESOURCE 위와 같은 파일구조를 가진 맥킨토시와의 호환성을 고려하여 ADS라는 영역이 필요하게 된 것입니다.. 다시 말해서, 리소스영역에 파일의 아이콘 등의 정보를 저장하기 위해 리소스 영역을 사용하는 맥킨토시 HFS(Hierarchical FileSystem)를 지원하기 위함입니다. 이제 본론으로 들어가겠습니다. ADS(Alternate Data Stream)를 한국식 영어로 무식하게번역을 해보겠습니다. 대체 데이터 스트림 … (한국식영어 참~ 쉽죠잉? ) 리소스영역을 사용하면 참 용이하게 사용할 것인데.. 보안적인 측면에서 봤을 때이슈가 될만한 부분이 발생하게 됩니다. 바로 이 리소스 영역에 바이너리 코드를 삽입하여 악성파일을 실행시킬 수 있다는 것입니다. ( 별표 백개!!) ADSSpy 라는 툴은 이 ADS영역을 검사해주는 툴입니다. 아래 그림을 보시면 C:Work 폴더 안에는 Hidden.txt 파일과 NotHidden.txt 파일 두…
결재를 요구하는 허위백신 대처하는 방법 2 Posted By ASEC , 2009년 8월 7일 가짜백신을 만들어 돈을 많이 벌었나 봅니다. 2009년 1월 부터 AntiVirus 2009 –> System Security 2010 –> Home AntiVirus 2010, 벌써 세 번째 업데이트네요. 돈벌이가 되니 계속 만들어 내고 있는 거겠죠? 사설이 길었습니다. 계속 살펴보도록 하겠습니다. 사용자의 PC에 쓰레기 파일을 임의 생성시키고 그 파일을 다시 찾아 진단치료하는 과정에서 결재를 요구합니다. 설치되는 파일 정보입니다. hp32_nword.exe (파일명에 차이가 있을 수 있음) : V3 진단명은 Win-Trojan/Reboot.27526 ① 설치경로 : %system% 폴더 , Documents and Settings사용자계정 ② 주요 기능 – 윈도우즈의 중요 시스템 드라이버인 ntfs.sys 를 변경합니다. –> C:WindowsSystem32Driversntfs.sys 를 암호화하여 별도 보관하고 –> 변조된 ntfs.sys(Win32/Ntfs)을 설치해서 악성코드를 지속적으로 다운로드/ 실행 – 메모리상에서 변조된 svchost.exe를 실행 , 개인 정보(FTP 계정 정보등등)를 외부로 유출합니다. braviax.exe : V3 진단명은 Win-Trojan/Downloader.9216.OJ ① 설치경로 : %system% 및 %windows% 폴더…
결재를 요구하는 허위백신 대처하는 방법 1 Posted By ASEC , 2009년 8월 7일 이걸로 돈을 벌 수 있을까? FakeAV라 칭하는 돈벌이용 백신들이 한동안 잠잠하다가 제목을 바꾸고 기능을 업데이트하여 다시 사용자들을 괴롭히고 있습니다. 오늘은 가장 최근 등장한 Home AntiVirus 2010에 대해 살펴 보고 대처하는 요령에 대해 설명 드리겠습니다. 무엇이 추가 되었나? 2009년 초부터 등장했던 AntiVirus 2009, System Security 2010 과 비교 해 봅니다. – 바탕화면을 변조하여 사용자의 불안감을 조장하는 기능을 없애 신뢰성을 높이려 했습니다. – 윈도우즈의 정상 시스템 파일인 ntfs.sys 파일을 변조하여 악성코드 설치에 활용합니다. – 윈도우즈 방화벽 기능을 해제하고 인터넷익스플로러 시작페이지를 구글로 변경합니다. ( HKLMSOFTWAREMicrosoftInternet ExplorerMainStart ) 자 그럼 본격적으로 살펴볼까요. 감염증상 및 주요기능 감염이 되면 그럴 듯한 프로그램 창이 실행되면서 우측 하단 트레이 아이콘에 '감염경고'가 어김없이 등장합니다. 이쯤되면 사용자들은 당황하기 시작하고 내 PC가 이렇게 감염되었나 한탄하며 치료를 시도합니다. 설상가상으로 치료를…
