Windows 악성코드 감염시 처리 프로세스

초기 분석

• 프로세스 확인
• 네트워크 패킷 확인
• system32 확인
• host파일 변조 확인
• 레지스트리 확인 주로 HKLM & HKCU\Software\Microsoft\Windows\CurrentVersion\Run.*
• Temp 폴더 확인 - 보통 다른이름으로 복사해 실행된다.

이후 여러 툴을 이용해 상세 분석하고, 악성코드 식별 시 리버싱.

svchost

svchost.exe는 프로세스 하나 당 서비스 하나를 실행시키는 프로세스로, 반드시 winlogin.exe - services.exe의 자식 프로세스로 존재해야 한다. 단독으로 존재하거나, 실행 레벨이 services.exe와 동급이라면 악성코드일 가능성이 크다. windows 7으로 넘어오면, wininit.exe - services.exe 하위에 svchost.exe가 존재한다. 여기서부터는 svchost.exe 하나가 복수의 서비스를 실행시킨다.

Command line 옵션을 봤을 때, -k옵션이 없다면 악성 행위를 하는 서비스일 가능성이 크다. -k 옵션은 정상적으로 실행했을 때 붙는다.

인증

lsass.exe : 로컬 보안 인증 서버 프로세스. 로그인한 사용자 유효성 검증. smss.exe : 사용자의 세션을 시작 시키는 세션 관리자. winlogon.exe, csrss.exe를 실행시킨다. 로그온 시 전체적으로 smss.exe가 처리하면서 lsass.exe를 불러서 계정이 있는지, PW는 맞는지 등등을 검증하고… 이런 식으로 진행된다.

주요 프로세스 실행 절차

smss.exe
- csrss.exe
- winlogon.exe
- services.exe      : Check Registry
- svchost.exe