악성코드 대응! - TCP View 편 (2)

안녕하세요. ^^

 

오늘은 TCPView로 악성코드의 동작을 모니터링 해보고, 그에 따른 대응법을 알아보겠습니다. 이전 글에서 TCP View의 기능에 대해서 설명 드렸기 때문에 본 글에서는 별도의 기능 설명 없이 바로 진행하겠습니다!

 

오늘 시연에 사용될 악성코드는 악의적인 네트워크 트래픽을 다량 발생시키는 녀석으로서 V3에서는 아래의 진단명으로 진단하고 있습니다.

 

[그림-1 진단명]

 

그럼, 이 녀석을 실행시켜 어떤 동작을 하는지 살펴볼까요?

악성코드의 실행 후 아래 화면과 같이 다량의 TCP 패킷을 발생되고 임의의 URL로 접속하는 것을 확인 할 수 있습니다.

 

[그림-2 다량의 패킷 발생]

 

해당 URL에 대한 도메인 정보는 whois를 통해서 확인 할 수 있으며, 이 내용은 이전 “whois편”에서 소개해 드렸으니 관련 글을 참고하세요. ^^

 

여기서, 깔끔한 정보 확인을 위해 화살표 모양 같은 아이콘을 클릭하여 루프백을 제외한 현재 연결된 정보만 보도록 설정합니다.

 

[그림-3 현재 연결된 정보

 

위 그림은 악성코드의 동작으로 미리 지정된 사이트에 연결된 상태이며, 해당 프로세스의 등록 정보를 통해 파일의 경로를 확인해 보겠습니다.

 

[그림-4 파일 경로]

기존에 있던 정상적인 폴더에 임의로 자신을 등록한 악의적인 파일이 확인됩니다.

 

이제 해당 파일의 프로세스를 종료 시켜 접속을 끊어 보겠습니다.

 

[그림-5 접속 끊기]

 

이는 프로세스만 종료 시킨 상황이므로 앞서 확인한 해당 경로의 악성 파일을 삭제 해 줘야 합니다. 또 한, 레지스트리 및 시작 프로그램에 악의적인 정보가 등록된 경우 해당 값들을 모두 삭제 해줍니다.

 

마치며……

오늘은 TCPView를 통해 악성코드의 동작을 모니터링 해보았습니다. TCPView는 앞서 알아본 ProcessExplorer, Autoruns와 함께 대표적인 시스템 행위기반 모니터링 도구로서 이 세 가지 tool을 효율적으로 이용하면 보다 정확한 악성코드의 동작을 볼 수 있습니다. 3가지 tool 모두 설명해드렸으니 참고하셔서 악성코드를 잡아보세요!

감사합니다. ^_^