감염경로2 한국수력원자력 MBR 파괴 악성코드 공격받아 최근 국내 주요 원전시설을 운영하는 한국수력원자력(이하 한수원)이 마스터 부트 레코드(이하 MBR)를 삭제하도록 설계된 악성코드에 감염되어 사회적 이슈가 되고 있습니다. 악성코드는 한글 워드 프로세서(HWP) 취약점을 통해 감염되었으며, 한수원 임직원들이 악성 첨부파일을 실행하도록 하기 위한 다양한 사회공학적 공격 기법이 사용되었습니다. 아래 그림과 같이 공격은 임직원들에게 전송된 스피어피싱 이메일에서부터 시작되었으며 첨부파일 실행시 2가지 악성코드를 설치하는 방식으로 진행되었습니다.MBR 파괴 공격의 감염 경로 악성코드에 대한 설명이 악성코드의 진단명은 TROJ_WHAIM.A이며, 감염된 시스템의 MBR을 파괴합니다. MBR 파괴 이외에도 감염된 시스템에서 특정 파일을 덮어쓰기 하는 기능과 감염된 시스.. 2014. 12. 27. 포렌식 도구를 활용한 삭제파일 복구 후 시계열분석 1. 최초 감염시점을 확인 - 방화벽 기록 등을 이용하여 해킹시 접속하는 IP 최초 접속시간을 확인하거나 - 백신 실시간 검사기록(수동검사기록이 아님)에 해킹 관련 탐지된 악성코드 탐지시점 확인 2. 포랜식 도구를 이용, 삭제파일 복구 3. 포랜식 도구의 만든날짜 기준 정렬하여, 1번 과정에서 추정한 최초 감염시점대 부터 생성된 파일 확인 - 대개 bat, dll 파일이 Sysvolume이나 system32 폴더에 갑자기 생성되어 있으면 악성코드 유력 - 이후 관련 파일을 메모장 등으로 열어보면 추가 악성코드 설치등 행위 분석 일부 가능 4. 포랜식 도구의 웹히스토리파일을 분석,최초 감염시점에 접속한 사이트나 이메일 접속기록 확인하여 감염경로 파악하고 원인 제거 출처 : CONCERT 2009. 12. 30. 이전 1 다음
