보안 도구 사용 방법

[Autoruns 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #2

우리가 사용하는 윈도우는 레지스트리 라는 각 프로그램의 설정, 사용자 계정 프로필, 시스템 하드웨어 정보등 일련의 데이터베이스를 토대로 이루어져 있다. 윈도우가 그런 레지스트리 라는 정보를 충실히 따라 우리에게 편리함을 제공하는 만큼 그에대한 확실한 무결성이 요구된다.

이번 시간에는 지난 시간에 이어 Process Explorer에서 확인된 정보들과 연계될 수 있는 레지스트리 값에 대한 정보를 한눈에 알아 볼 수 있는데 도움이되는 Tool의 활용법에 대해 알아보도록 하겠다.

◆ 내 PC의 데이터베이스 레지스트리를 보호하자!

Autoruns 활용편

 - 각종 중요 레지스트리에 대한 제어 및 관리가 편리 할 수 있도록 간단한 UI를 통해 정보 제공.
 - 다운로드 URL : http://technet.microsoft.com/ko-kr/sysinternals/bb963902(en-us).aspx

- 각 색션별 기능

  1) Everything : 모든 색션에 대한 정보값을 보여준다.
  2) Logon : 윈도우가 시작될 시 시작 프로그램 폴더 및 레지스트리 상에서 Run값에 등록된 항목들을
                 보여준다.
  3) Explorer : 쉘 확장, BHO, Explorer toolbar 등의 정보를 보여준다.
  4) Internet Explorer : BHO 와 Internet Explorer Tool바가 표시된다.
  5) Schedules tasks : 작업 스케줄에 구성된 정보를 보여준다.
  6) Drivers : 모든 커널 모듈 드라이버를 보여준다.   
  7) Boot Excute : 부트 프로세스 초기 동작에 실행되는 프로그램 정보를 보여준다.
  8) Image Hijacks : 명령어 또는 특정 파일명과 해당 명령어나 파일명으로 실행될 수 있는
                            파일에 대한 정보를 보여준다.
  9) AppInit : HKML\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs 의 정보를 
                  보여준다.
  10) Known DLLs : HKLM\SYSTEM\CurrentControlSet\Control\Session\Manager \KnownDLLs 의 정보를
                            보여준다. 또한, 이곳에 등록된 Dll 파일들은 시스템이 부팅될 시 메모리로 로드된다.
  11) Winlogon : 윈도우 부팅 시 Winlogon 과정을 거친 후 로드되는 값들에 대한 정보를
                       보여준다.
  12) Winsock Providers : Winsock protocols 와 Winsock service providers 들을 보여준다.
                                    삭제는 가능하나 사용안함은 불가능하다.
  13) Print Monitors : 프린트 스풀링 서비스에 로드되는 DLLs를 보여준다.
  14) LSA Providers : LSA(local security authority), 알림 및 보안 패키지에 등록된 정보를
                              보여준다.


Process Explorer와 마찬가지로 Autoruns역시 Description 등의 정보가 누락되어있는 경우 의심파일로 간주해도 좋다. 악성코드는 자신의 생존성 확보를 위하여 스스로 생성한 파일들을 특정 레지스트리에 등록시켜 부팅 시 혹은 스케쥴링에 의해 지속적인 재감염을 유발시킨다.

악성코드가 주로 자신 혹은 생성파일을 등록하는 레지스트리 부분은 주로 Logon 탭의 Run 키값 혹은 Userinit 키값 부분이다. 이곳에 자신을 지속적으로 실행시켜줄 파일에 대한 레지스트리 값을 등록하여 부팅 시 시작프로그램으로 혹은 사용자의 기본환경을 초기화 시켜주는 Userinit 부분에 특정 값을 첨부하여 함께 실행될 수 있게 하는것이다.

또한, 악성코드는 때때로 자신의 생존성 확보를 위하여 자신 혹은 복사본의 파일명을 userinit.exe 와 같은 정상 파일명과 동일하게 명명하는 경우가 있다. 이는 사용자를 속여 자신을 찾아내기 힘들게 하기 위한 것이다. 이러한 경우의 대부분은 레지스트리 값 또한 마치 정상인듯 속이기 위해 정상 레지스트리 값 등록부분을 자신이 존재하는 경로로 변조시도를 한다.


위 그림을 살펴보면 Userinit 부분이 변조되어 있는것을 확인 할 수 있다. 경로가 C:\Windows\userinit.exe 로 되어있다. 하지만 정상 userinit.exe 는 C:\Windows\System32\userinit.exe 의 경로값을 가진다. 해당 레지스트리 값 부분을 더블클릭하면 레지스트리 편집기 화면으로 바로 이동이 가능하니 본인의 편집기에 설정되어 있는 레지스트리 값을 참고해보면 도움이 될 것이다.

위 그림의 레지스트리 값 등록부분을 보면 바로 정상 대신 부팅 시 악성코드 자신이 실행되는 것이며, 해당파일은 userinit.exe파일이 부팅 시 실행되는 루틴을 포함하여 윈도우 구동에 영향을 끼지지 않는다.

다만, 주의할 점은 해당 파일이 악성코드인것을 인지한 후 파일을 삭제 하거나 레지스트리 값을 삭제하는 경우다. 이 경우 악성코드 파일과 그 등록값은 삭제 되겠지만 정상 Userinit.exe파일이 실행되도록 레지스트리 값이 설정되어 있지 않기 때문에 해당파일은 구동되지 않을것이며, 윈도우 또한 로그인 상태만을 반복적으로 보여줄 것이다.

Explorer, Internet Explorer, Services, Drivers등도 위에서 설명한 것과 유사한 형태로 악성코드의 특정 파일에 대한 레지스트리 값 등록 경로로 사용된다. 

악성코드가 주요하게 사용하는 레지스트리 경로값은 많다. 위에서 나열한 경로와 레지스트리 값 등록 패턴말고도 일정 스케쥴에 따라 특정파일을 실행시켜 줄 수 있도록 값을 등록하는 Scheduled Tasks 와 사용자가 정상 파일명을 실행하여도 악성코드가 실행될 수 있도록 파일명 매칭을 바꿔주는 Image Hijacks등 다양한 레지스트리 등록 방법을 악성코드는 사용하므로 자신의 PC가 악성코드가 아닌 사용자 본인이 정상 시스템을 망치지 않도록 주의하여 사용해야 할 것이다.

Autoruns Tool은 새로운 프레임을 작성하여 레지스트리 값들을 보여주는 것이 아닌 존재하는 값들을 단지 보기편한 UI를 활용하여 제공하여 주는 만큼 위에서 설명한 주의사항등을 상기하며 사용하면 정말 유용한 Tool이 될것이다.

[※ Autoruns 활용팁]


Autoruns Tool의 사용이 익숙치 않을 경우에는 정상 레지스트리와 비정상으로 의심되는 레지스트리 값에 대한 구별이 어려울 것이다. 그러할 경우 매우 유용한 팁이 있다. Options탭의 "Hide Microsoft Entries"에 체크를 한 후 새로고침을 해보면 아래의 그림과 같이 정상 Microsoft Entries들을 모두 보이지 않게 설정하여 준다.


위 두 그림에서 적색박스 부분을 보면 확연히 차이점이 드러날 것이다. 바로 Publisher 부분의 내용이 Microsoft 인 레지스트리 값들을 모두 필터링한 것이다.

이번시간에는 윈도우를 구성하고 있는 레지스트리에 대한 정보를 확인하는 Tool과 그에 대한 활용법을 알아보았다. 다음시간에는 지금껏 설명하였던 Process Explorer, Autoruns에서 제공하는 일부기능을 모두 제공하며, 두가지 Tool에서 확인이 어려운 루트킷등의 제어가 가능한 Tool에 대해 알아보도록 하겠다.

<※ 도구 활용편 추가 보기>

[Process Explorer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #1 : http://erteam.nprotect.com/11
[TCPView 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #4 : http://erteam.nprotect.com/14
[Gmer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #5 : http://erteam.nprotect.com/15 



댓글

댓글쓰기

보안 도구 사용 방법 관련된 글

관련글 더보기