brunch

You can make anything
by writing

C.S.Lewis

by bit Jul 12. 2021

V3가 놓친 악성코드 찾기

sysmon

대부분의 금융회사는 망분리가 되어있으나 내부망에 존재하는 데이터들은 망분리 이전의 파일, 문서 등이 산재되어 있을 수 있다. (그 안에는 악성코드가 들어있을 수도 있다.)


최근에 회사에서 다크트레이스를 POV(Proof of Value)했는데, 특정 임직원 PC에서 랜덤 URL로 도메인 접근이 탐지되었다. 이러한 악성코드는 DGA(Domain Generation Algorithm)를 통해 랜덤으로 URL을 조합해서 접근하는데, 운 좋게 하나 얻어걸리면 C&C 서버와 통신하는 구조이다. (DGA 개념 링크)

다크트레이스는 탐지만 해주고, 어떤 프로세스인지 등 확인은 보안담당자가 분석해야 한다.


백신에도 탐지가 안되고, 이름도 정상 프로세스처럼 올라와있기 때문에 찾기가 쉽지 않다. 따라서 53번 포트로 지속적으로 질의하는걸 로그로 남겨 어떤 프로세스가 악성 행위를 하는지 유추할 수 있다.

V3는 못 잡고 SGA는 잡더라..


백신도 못 잡으면 어떻게 잡아내요?


프로세스의 행위에 대해 로그를 남겨 잡으면 된다. 이벤트 로그를 남기기 위해선 Sysmon을 설치해야 한다. Sysmon은 네트워크 연결 등 기본적으로 로그를 남기지 않는 이벤트들을 남겨주는 도구이며, MS에서 제공한다. (다운링크)


<Sysmon 다운페이지, 출처: MS 공식 홈페이지>


다운로드 받은 후, 압축 해제한 폴더에서 cmd로 아래처럼 입력해서 설치하고 네트워크 이벤트가 생기는지 확인한다. (옵션 등 자세한 설명은 여기로)

1) CMD> Sysmon64.exe -i -n

2) %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx


실제 이벤트 뷰어를 열어보면 아래와 같이 찾을 수 있다.


<Sysmon 이벤트 뷰어 화면>


프로세스 이름: WIFIService.exe

목적지: 163.172.91.242 (53번 포트)


이러한 로그들이 많이 찍혔있는데, 구글링을 해보면 역시나 악성코드로 확인이 가능하다.


<출처: www.joesandbox.com>


매거진의 이전글 금융회사 Endpoint 보안(NAC)
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari