[2020.09.19] OHack - 악성코드 조사

| 백도어

- 정상적인 인증 절차를 거치지 않고 컴퓨터(응용프로그램/시스템)에 접근할 수 있도록 하는 장치

- Trap Door : 개발 단계에서의 테스트를 위해, 유지 보수 시의 효율성을 위해 특수 계정을 허용하는 경우

 

[특징]

- 자신을 레지스트리와 서비스에 등록하여 윈도우 시작 시 자동 실행 되게 함

- 시스템 최단 시간 침입 가능

- 백도어 프로그램의 경우 로그를 남기지 않고도 가능함

- 시스템 관리자가 막으려 해도 다시 접근 가능

 

[종류]

- 로컬 백도어 : 시스템에 로그인한 뒤에 관리자로 권한 상승하기 위한 백도어

- 원격 백도어 : 시스템 계정이 필요없으며 원격으로 관리자 권한을 획득하여 시스템에 접근

- 패스워드 크래킹 백도어 : 패스워드를 공격자에게 전송

- 시스템 설정 변경 백도어 : 시스템 설정을 변경할 수 있는 백도어

- 트로이 목마 형태의 프로그램 : 백도어를 목적으로 만들어지진 않았지만 백도어로 악용될 수 있다

 

[백도어 제공 기능]

- 파일, 프로세스, 네트워크 커넥션 숨기기

- 원격 명령 실행 가능

- 관리자 권한 획득

 

[탐지 방법]

- 현재 동작중인 프로세스(ps -ef), 열린 포트 확인 (netstat - an)

- setUID 권한 파일 검사

- 파일 이벤트 검사 > 변경 파일 확인

- 로그 분석  

 

 

랜섬웨어

[특징]

- 암호화 API를 사용할 확률이 높다.

ex. Windows API 中 Crypto API,  Crypto++(C++기반 오픈소스 암호화 라이브러리)

- CPU 전력 소모량이 일반 상태보다 크다

- 윈도우 복원 시점이 제거되거나 업데이트를 막음

- 특정 디렉터리에 자기 자신을 복사하기도 함. 레지스트리에도 재부팅 시 이 경로의 프로그램을 실행하도록 되어있음

C:\Program Files\

C:\Users\(사용자 이름)\Appdata\Roaming\

 

[랜섬웨어 종류별 특징]

- Sodinokibi : Oracle Weblogic의 취약점 (CVE-2019-2725)을 악용

- LooCipher : 스팸 -> 워드파일 매크로

- Phobos : RDP (Remote Desktop Protocol) 방식

 

[탐지 방법]

• 사용자 권한 액세스 탐지 (권한 수준 조정)

• 시그니처 기반 탐지 기법
  - 특징을 목록화하여 랜섬웨어를 판단
  - 보유하고 있는 목록에 악성코드 시그니처가 없으면 탐지 불가

• 행위 기반 탐지
  - 특정 행위를 "패턴화" 시켜 행위를 시그너처화 하여 탐지
  - 새로운 행위 발생시 탐지 어려움

• 네트워크 기반 탐지
  - 암호화된 네트워크를 통해 공격자가 명령을 내리는 경우 탐지 어려움

• 디코이(Decoy) 기반 탐지
  - 랜섬웨어가 암호화하였을 때 탐지하는 방법
  - 하지만 우회 가능

• 익스플로잇 기반 탐지
  - 사용자가 직접 실행하도록 유도하는 피싱(phishing) 방식은 탐지가 불가

• ACL(Access Control List)기반 방어
  - 등록되는 프로그램과 업데이트 되는 정상 프로그램에 대한 관리가 어렵기 때문에 실질적인 업무 환경에서는 효용성이 떨어짐

• 상황인식 기반 탐지
  - 실제 사용자의 파일을 변조하는 상황을 종합적으로 판단, 새롭게 나타나는 랜섬웨어의 훼손 행위에 대해서도 시그니처 없이 정확한 탐지가 가능

 

[백도어/랜섬웨어 감염특징, 대응방법 분석 표]

* 향후계획

- 백도어, 랜섬웨어 특징 추가조사 -> 공통첨, 차이점 찾기

- 탐지 가능한 오픈소스 툴 찾기