작은 메모장

윈도우 단말의 악성코드 유입 경로와 이상징후 식별 개요 본문

KISA 사이버 보안 훈련/멀웨어 식별

윈도우 단말의 악성코드 유입 경로와 이상징후 식별 개요

으앙내눈 2023. 6. 3. 19:16

윈도우 단말의 악성코드 유입 경로

- 웹 페이지를 통한 브라우저 공격 맟 악성코드 유입

일반 사용자가 자주 사용하는 정보수집 경로는 브라우저

이 과정에서 공격자의 악성 스크립트 혹은 익스플로잇 코드로 인해 악성코드가 유입

- 악성 문서를 통한 악성코드 유입

공격자가 일반 사용자에게 스피어피싱 메일을 보내는 방식

일반적인 메일로 위장하여 악성 메일을 전달

악성 메일에는 악성 파일(PDF, HWP, DOC, PPT)등을 첨부하여 이를 열어보게 유도

- 외장 매체를 통한 악성코드 유입

USB, 외장 하드디스크 등을 통해 악성코드가 유입

외부와 통제된 인트라넷 또한 내부 직원의 외장 매체를 통해 감염이 가능

- 로컬 네트워크의 다른 단말을 통한 유입

같은 네트워크를 사용하고 있는 감염된 노드에 의한 감염

자가 증식, 자가 복제를 통한 바이러스에 의한 감염이 대다수

 

 

윈도우 단말의 이상징후 식별

- 프로세스의 이상징후 식별

경로 및 이름 분석, 프로세스 혈통(리니지) 분석, 프로세스의 명령라인 파라미터 분석, 프로세스 이미지의 버전정보 분석

- 제어지속지점(Persistence)의 이상징후 식별

레지스트리 자동실행 포인트, WMI 트리거, 테스크 스케줄, 시작 프로그램 등

LoL 바이너리 실행 여부 분석(서비스 등록, 스크립트 실행 등), 자동실행되는 실행 파일 이미지의 버전 정보 분석

- 메모리 분석을 통한 프로세스 인젝션 징후 식별

커널 메모리 영역의 VAD(Virtual Address Descriptor) 자료구조 분석

- 파일시스템 분석을 통한 이상징후 식별

악성 코드(실행파일, 스크립트 등)은 은닉여부 분석, 시간정보 조작여부 분석, 타임라인 분석(파일의 시간이벤트 맥락 조사)