AhnLab EDR을 활용한 방어 회피 기법 탐지 Posted By Sanseo , 2024년 3월 7일 일반적으로 기관이나 기업과 같은 조직에서는 보안 위협을 막기 위해 다양한 보안 제품들을 사용하고 있다. 엔드포인트를 기준으로 하더라도 AntiVirus뿐만 아니라 방화벽, APT 방어 솔루션 그리고 EDR과 같은 제품들이 존재한다. 보안을 담당하는 조직이 따로 존재하는 환경이 아닌 일반 사용자 환경에서도 대부분 기본적인 보안 제품이 설치되어 있는 경우가 많다. 예를 들어 최신 윈도우 운영체제 환경에서는 사용자가 추가적으로 설치하지 않더라도 이미 Microsoft Defender와 같은 AntiVirus가 설치되어 있는 환경이 대부분이다. 이에 따라 공격자들은 최초 침투 이후 설치되어 있는 보안 제품을 비활성화하려고 시도하는 경향이 많다. 이는…
Rustock 조치 가이드 (2) Posted By ASEC , 2009년 10월 28일 3. 증상 발생 시 조치방법 II : 수동조치 —————————————————————– 제품에서 진단되는 않는 경우, 아래 과정으로 수작업 조치를 통해 해결해야 한다. 1) GMER Download : http://www.gmer.net/gmer.zip 에서 툴을 다운로드 받으신 후, 임의의 폴더에 압축을 해제하여 gmer.exe를 실행한다. 2) GMER 실행 시 은폐형 파일이 존재할 경우 아래와 같이 메시지가 출력되며, hidden으로 표시된 항목을 찾는다. Rustock 의심파일의 특징은 Hidden이면서 파일명이 숫자로 시작하며 영문/숫자 조합으로 생성된다. 3) 여기서는 System32drivers7f0ed690.sys 이며, Rustock의 경우 정상모드에서 삭제가 되지 않기 때문에 안전모드(네트워크 지원)로 부팅하여 조치해야 한다. * 안전모드 부팅 방법은 [안전 모드부팅 후 치료하기]글을 참조해 주시기 바랍니다. 4) 시스템을 안전모드(네트워크 지원)로 부팅한 후, GMER을 실행하여 등록한 서비스를 삭제한다. 5) 서비스 삭제 후 GMER의 [Files]탭을 선택하여 의심 파일이 위치하는 경로로 이동하여 해당 파일을 선택하여 [Kill] 한 다음, 수집을 위해…
은폐된 악성파일 수집 및 삭제 방법(Gmer) Posted By ASEC , 2009년 8월 24일 악성코드는 시스템에서 오랜기간 생존하기 위해 보안 제품에 탐지 및 제거되지 않으려 다양한 방법을 사용합니다. 이러한 방법중 루트킷(RootKit) 을 이용하여 파일을 은폐하는 방법이 있습니다. [루트킷(RootKit)] 시스템의 루트(Root) 권한을 얻는 도구(Kit), 루트킷을 사용하여 파일을 은폐하거나 쉽게 삭제할 수 없도록 할 수 있습니다. 은폐된 파일을 윈도우의 작업 관리자 창과 같이 일반적인 방법으로 확인할 수 없기 때문에 안티-루트킷 툴(Anti-RootKit Tool)을 사용해야 합니다. 이 글에서는 안티-루트킷 툴 중에서 GMER를 사용하여 은폐된 파일을 수집하고 삭제하는 방법에 대해서 알아보겠습니다. 시작에 앞서, 아래의 주소에서 GMER Application을 다운로드 하실 수 있습니다. [GMER 다운로드 안내] * GMER 공식 홈페이지 : http://www.gmer.net * GMER Application 다운로드 : http://www2.gmer.net/gmer.zip GMER을 실행시켰을 때 은폐된 파일이 존재할 경우 아래와 같은 메세지박스가 출력됩니다. 그리고 은폐된 파일은 빨간색 글씨로 출력됩니다. 아래와 같은 메세지박스가 출력되면 “아니오“를 클릭하고 계속 진행하겠습니다. 우선 상기의 빨간색으로 표시된 은폐된 파일은…
