'Hacking/Malware'에 해당되는 글 2건

* lass.exe : Local Security Authority Subsystem Services

 : 보안 정책 적용을 담당하고 있는 프로세스

 : 패스워드 변경, access tokens 생성, 사용자 인증 등을 담당

 : 악성코드가 자주 사용하는 이름 중 하나

* svchost.exe : Service host

 : 동적 라이브러리(DLL)에서 실행되는 윈도우의 각종 서비스를 제어

 : 윈도우 부팅 시 레지스트리의 서비스 부분을 검사

 : 로드해야 할 서비스의 대상, 위치, 시작되는 방법 파악

 : 부모 프로세스는 services.exe

* csrss.exe : Client Server Runtime process

 : smss.exe에 의해 로드 (부모 프로세스가 smss.exe)

 : 각각의 프로그램들이 win32 API를 호출할 때, 운영체제의 커널이 응답하도록 중계

 : 프로세스나 스레드의 생성 및 삭제

 : 윈도우 콘솔에서 명령 호출이 가능하도록 함

* smss.exe : Session Manager Subsystem

 : 커널 생성 이후 최초로 생성되는 세스템 프로세스

 : 윈도우에서 세션을 만들기 위한 환경을 구성

 : 부모 프로세스는 시스템 프로세스 (PID 4) / 자식 프로세스는 winlogon.exe

* services.exe : Service Control Manager

 : 서비스 콘솔안의 프로세스를 실행 시키거나 종료

 : 부팅 시 또는 사용자가 요구 시 각종 드라이버와 서비스 로드

 : 현재 실행중인 서비스와 드라이버 정보 및 상태 유지

 : 유지된 정보를 통해 다른 서비스와 사용자의 요구에 응답

 : 부모 프로세스는 winlogon.exe

* winlogon.exe 

 : 윈도우 로그온 화면에서 SAS 키 조합 담당

   - SAS (Secure Attention Sequence) : 로그인 화면을 보여주는 특별한 키 조합

 : 계정 아이디와 패스워드가 일치 하는지 여부 파악

 : 로그온이 이루어지면 사용자 프로필 및 환경 설정 로드

 : 화면 보호기가 작동 시 PC를 잠그는 일 담당

 : 자식 프로세스는 services.exe / 부모 프로세스는 smss.exe

* userinit.exe

 : 부팅 후 시작 버튼 및 트레이, 작업 표시줄 등을 로드

 : 윈도우 사용자 쉘인 explorer.exe 호출

 : 위의 작업이 끝나면 자동으로 바로 종료

* 국내 사고 사례

 - 3.20 전산 대란 : 웹 엑티브 X 모듈을 통해 침입 / 엑티브 X 모듈 업데이트 기능을 이용해 업데이트가 파일 경로를 해커가 올려놓은 악성코드 파일 경로로 수정

 - 한수원 사건

 - 청호 이지캐쉬 ATM 서버 해킹 사건 : 북한 해커의 소행 / 백신 업데이트 서버의 취약점을 사용

* 금융 정보를 타깃으로 하는 공격자들이 수행하는 공격을 "Smash And Grab" 공격으로 분류

* 악성코드 평균 점유 시간 : 101일

 - 아메리카 지역 : 75.5일

 - 유럽/중동/아프리카 : 175일

 - 아시아/퍼시픽 지역 : 498일

* 파워쉘 : Windows 운영체제에서 기본적으로 제공하는 쉘 

 - 파워쉘 스크립트를 통해 운영체제의 각종 리소스 접근/조작이 가능

 - built-in 스크립트는 운영체제에 흔적이 잘 남지 않아 공격에 많이 사용됌.

 - Psexec 윈도우 관리용 프로그램을 이용한 공격도 많이 사용됌.

* 악성코드의 생존을 높이기 위한 속임수

 - Niddle in a haystack : 피싱 웹사이트를 통해 사용자를 속이는 방식 (ex)국민은행 피싱사이트

 - Rogue name : 

 - Process hiding (hooking and DKOM) : 악성 파일을 마치 작동하지 않은 것처럼 숨김 / 악성코드가 실행되어도 잡아내지 못함.

 - Does not create process (dll injection, code injection, process hollowing etc) : 프로세스를 강제로 로드시켜 다른 프로그램을 실행