V3가 놓친 악성코드 찾기

sysmon

대부분의 금융회사는 망분리가 되어있으나 내부망에 존재하는 데이터들은 망분리 이전의 파일, 문서 등이 산재되어 있을 수 있다. (그 안에는 악성코드가 들어있을 수도 있다.)

최근에 회사에서 다크트레이스를 POV(Proof of Value)했는데, 특정 임직원 PC에서 랜덤 URL로 도메인 접근이 탐지되었다. 이러한 악성코드는 DGA(Domain Generation Algorithm)를 통해 랜덤으로 URL을 조합해서 접근하는데, 운 좋게 하나 얻어걸리면 C&C 서버와 통신하는 구조이다. (DGA 개념 링크)

다크트레이스는 탐지만 해주고, 어떤 프로세스인지 등 확인은 보안담당자가 분석해야 한다.

백신에도 탐지가 안되고, 이름도 정상 프로세스처럼 올라와있기 때문에 찾기가 쉽지 않다. 따라서 53번 포트로 지속적으로 질의하는걸 로그로 남겨 어떤 프로세스가 악성 행위를 하는지 유추할 수 있다.

V3는 못 잡고 SGA는 잡더라..

백신도 못 잡으면 어떻게 잡아내요?

프로세스의 행위에 대해 로그를 남겨 잡으면 된다. 이벤트 로그를 남기기 위해선 Sysmon을 설치해야 한다. Sysmon은 네트워크 연결 등 기본적으로 로그를 남기지 않는 이벤트들을 남겨주는 도구이며, MS에서 제공한다. (다운링크)

<Sysmon 다운페이지, 출처: MS 공식 홈페이지>

다운로드 받은 후, 압축 해제한 폴더에서 cmd로 아래처럼 입력해서 설치하고 네트워크 이벤트가 생기는지 확인한다. (옵션 등 자세한 설명은 여기로)

1) CMD> Sysmon64.exe -i -n

2) %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx

실제 이벤트 뷰어를 열어보면 아래와 같이 찾을 수 있다.

<Sysmon 이벤트 뷰어 화면>

프로세스 이름: WIFIService.exe

목적지: 163.172.91.242 (53번 포트)

이러한 로그들이 많이 찍혔있는데, 구글링을 해보면 역시나 악성코드로 확인이 가능하다.

<출처: www.joesandbox.com>