작은 메모장
윈도우 단말의 악성코드 유입 경로와 이상징후 식별 개요 본문
윈도우 단말의 악성코드 유입 경로
- 웹 페이지를 통한 브라우저 공격 맟 악성코드 유입
일반 사용자가 자주 사용하는 정보수집 경로는 브라우저
이 과정에서 공격자의 악성 스크립트 혹은 익스플로잇 코드로 인해 악성코드가 유입
- 악성 문서를 통한 악성코드 유입
공격자가 일반 사용자에게 스피어피싱 메일을 보내는 방식
일반적인 메일로 위장하여 악성 메일을 전달
악성 메일에는 악성 파일(PDF, HWP, DOC, PPT)등을 첨부하여 이를 열어보게 유도
- 외장 매체를 통한 악성코드 유입
USB, 외장 하드디스크 등을 통해 악성코드가 유입
외부와 통제된 인트라넷 또한 내부 직원의 외장 매체를 통해 감염이 가능
- 로컬 네트워크의 다른 단말을 통한 유입
같은 네트워크를 사용하고 있는 감염된 노드에 의한 감염
자가 증식, 자가 복제를 통한 바이러스에 의한 감염이 대다수
윈도우 단말의 이상징후 식별
- 프로세스의 이상징후 식별
경로 및 이름 분석, 프로세스 혈통(리니지) 분석, 프로세스의 명령라인 파라미터 분석, 프로세스 이미지의 버전정보 분석
- 제어지속지점(Persistence)의 이상징후 식별
레지스트리 자동실행 포인트, WMI 트리거, 테스크 스케줄, 시작 프로그램 등
LoL 바이너리 실행 여부 분석(서비스 등록, 스크립트 실행 등), 자동실행되는 실행 파일 이미지의 버전 정보 분석
- 메모리 분석을 통한 프로세스 인젝션 징후 식별
커널 메모리 영역의 VAD(Virtual Address Descriptor) 자료구조 분석
- 파일시스템 분석을 통한 이상징후 식별
악성 코드(실행파일, 스크립트 등)은 은닉여부 분석, 시간정보 조작여부 분석, 타임라인 분석(파일의 시간이벤트 맥락 조사)
'KISA 사이버 보안 훈련 > 멀웨어 식별' 카테고리의 다른 글
프로세스 이상징후 분석 (시나리오 3) (0) | 2024.07.22 |
---|---|
프로세스 이상징후 분석 (시나리오 2) (0) | 2024.07.22 |
프로세스 이상징후 분석 (시나리오 1) (0) | 2024.07.21 |
윈도우 아티팩트 수집(실습) (0) | 2023.06.03 |
윈도우 아티팩트 수집(이론) (0) | 2023.06.03 |