시스템 이상징후 판단 기준

시스템 이상징후 판단 기준

 

동적 분석이 아닌 정적 분석에 의해 간단하고 빠르게 판단할 수 있는 전적으로 나름대로의 개인적인 기준을 정리해 봄

 

프로세스(실행 가능한 PE 포맷)

- OS 필수 프로세스와 동일한 경로에 위치하면서 파일명을 비교하여 유사율이 조직 내부 기준(%) 이상인 경우
- OS 필수 프로세스와 다른 경로에 위치하면서 파일명이 동일한 경우
- OS 필수 프로세스와 비교하여 실행된 프로세스 개수, 프로세스 실행 권한, 숨김, 실행경로, 부모 프로세스가
  기본 정보와 다를 경우

- OS 필수 프로세스와 동일한 경로에 위치하면서 이름더 같은데 실행 기본 사용자가 다른 것
- 속성이 숨김일 경우. 특히 시작 프로그램에 등록되어 있으면서 숨김 속성일 경우

- Code Siging/디지털 서명 이 안되어 있을 경우

- Code Signing/디지털 서명 이 되어 있지만 패커 정보(패킹주체, 회사)가 없는 경우

- 악성코드들이 주로 사용하는 API를 사용하는 경우. 프로세스가 로드하는 DLL이나 호출하는 API가 악성코드가 자주
  또는 반드시 사용하는 API를 호출
- VirusTotal 검색 또는 Open Source ClamAV 검색

- 실행 후 삭제되었거나 원격으로 실행된 프로세스 (프리패치는 존재하지만 실행파일은 존재하지 않는 경우)

- ADS(Alternative Data Stream) 형태로 존재하는 실행 가능한 포맷(exe, dll, sys, scr, ocx)의 파일
- 로드된 DLL 또는 윈도우즈 폴더 내 DLL 목록에서 버전이 없는 파일이 있는 경우(추가로 DLL을 로드하여 사용하는
  프로세스 정보)

- 부모 프로세스가 winword.exe, excel.exe, powerpoint.exe 이면서 자식 프로세스가 cmd.exe, wscript.exe,

   powershell.exe이면 굉장히 위험

OS 기본 주요 프로세스 예제

smss.exe	1) 프로세스 실행 경로 : C:\Windows\System32 2) 부모프로세스명 : System 3) 실행허용 개수 : 1 4) 실행권한 : System
winint.exe	1) 프로세스 실행 경로 : C:\Windows\System32 2) 부모프로세스명 : 없음 3) 실행허용 개수 : 1 4) 실행권한 : System
윈7 - : taskhost.exe 윈8 : taskhostex.exe 윈10 : taskhostw.exe	1) 프로세스 실행 경로 : C:\Windows\System32 2) 부모프로세스명 : 윈7 이하 : services.exe / 윈8 이상 : svchost.exe 3) 실행 허용 개수 : Login user count 4) 실행권한 : User
lsass.exe	1) 프로세스 실행 경로 : C:\Windows\System32 2) 부모프로세스명 : wininit.exe 3) 실행허용 개수 : 1 4) 실행권한 : System
winlogon.exe	1) 프로세스 실행 경로 : C:\Windows\System32 2) 부모프로세스명 : 없음 3) 실행허용 개수 : Login user count 4) 실행권한 : System
csrss.exe	1) 프로세스 실행 경로 : C:\Windows\System32 2) 부모프로세스명 : 없음 3) 실행허용 개수 : xp - Login user count / vista이상 - Login user count + 1 4) 실행권한 : System
lsm.exe ( Xp만 체크한다 )	1) 프로세스 실행 경로 : C:\Windows\System32 2) 부모프로세스명 : wininit.exe 3) 실행허용 개수 : 1 4) 실행권한 : System
expolorer.exe	1) 프로세스 실행 경로 : C:\Windows\ 2) 부모프로세스명 : 없음 3) 실행허용 개수 : Login user count 4) 실행권한 : User
iexpolorer.exe	1) 프로세스 실행 경로 : C:\Program Files\Internet Explorer or C:\Program Files (x86)\Internet Explorer 2) 부모프로세스명 : explorer.exe 3) 실행허용 개수 : Login user count 4) 실행권한 : User

네트워트 (IP나 웹 URL)

- 외부로 접속된 IP/URL 주소가 악성코드 유포지 목록에 포함된 IP 주소인 경우(Open Source DataSet 이용)

   http://www.malware-domains.com/files/justdomains.zip
   https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt
- 웹 평판과 연동

- VirusTotal 검색

- Hosts, Hosts.ics 파일에 임의로 등록된 /IPURL

 

일반 파일

- 내부에 실행 가능한 스크립트를 가진 매크로 존재 (특히 다운로드된 파일)

- 숨긴 파일이나 숨긴 폴더 내에 존재하는 파일

- 일반 폴더가 아닌 특수 목적의 시스템 폴더에 존재하는 파일

- Hosts, Hosts.ics 파일이 사용자 의도와 상관없이 변경된 경우

 

서비스나 자동 실행 파일

- 최근에 등록되었거나 자동실행 여부 등 속성이 변경된 경우

- 서비스 실행 파일이나 로드하는 DLL이 최근에 접근일자가 변경된 경우