주요 콘텐츠로 건너뛰기

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/mdr/help/ko-kr/index.html?contextId=LNK

악성 LNK 웜 수정 워크플로

악성 LNK 웜 공격을 수정하려면 다음 단계를 따르십시오.

소개

이 참조 자료 문서는 LNK 웜 처리에 대한 유용한 정보를 제공합니다. LNK 맬웨어 조사 방법을 참조하십시오.

위협 식별

활성 LNK 웜이 있는지 확인하려면 다음과 같이 하십시오.

  1. 경고를 확인하여 Sophos가 .lnk 파일을 감지하거나 정리하고 있는지 확인합니다.

  2. 찾을 수 없을 것으로 예상되는 위치(예: 파일 공유)에서 .lnk 확장명이 반복적으로 생성되는 파일을 찾습니다.

    이런 파일은 감지 및 정리 후 특정 위치에 반복적으로 저장됩니다. 장치의 메모리가 감염되어 파일이 저장되는 것입니다. 감염의 출처를 찾아야 합니다.

  3. 사용자의 바로 가기가 더 이상 올바르게 작동하지 않을 수 있습니다.

Source of Infection을 사용하여 조사하기

감염의 출처를 찾으려면 다음과 같이 하십시오.

  1. Source of Infection 도구를 다운로드하여 실행합니다. Sophos Source of Infection 도구(SOI): 다운로드 및 사용 방법을 참조하십시오.

    1. 조사하려는 장치로 Source of Infection 도구를 옮깁니다.
    2. C 드라이브의 루트에 SourceOfInfection.exe의 압축을 풉니다.
    3. 관리자 권한으로 명령 프롬프트를 엽니다.
    4. SourceOfInfection.exe를 찾아 실행합니다.
    5. Enter 키를 눌러 명령을 실행합니다.
    6. Source of Infection을 실행 중인 상태로 둡니다. 이렇게 하려면 명령 프롬프트 창을 열어 놓아야 합니다.
    7. 장치에서 새로운 LNK 감지가 발생하면 명령 프롬프트 창을 닫아서 Source of Infection을 중지합니다.

  2. 로그 파일을 검토하여 감염의 출처를 확인합니다. 로그 파일은 %temp%\Source of Infection Log.csv에서 찾을 수 있습니다.

    다음은 로그 파일의 예입니다.

    날짜/시간 파일 경로 프로세스/네트워크 프로세스 경로/컴퓨터 이름
    27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe 네트워크 192.168.30.141
    27-12-19 11:30 C:\TestShareOn2016\.lnk 네트워크 192.168.30.141

    감염되었을 가능성이 있으며 수정 조치가 필요한 IP를 확실히 확인해야 합니다.

    이 예에서는 192.168.30.141이 TestShareOn2016이라는 공유에 .LNKDriveMgr.exe를 저장하는 것으로 확인되었습니다.

활성 LNK 웜 수정

웜을 제거하려면 다음과 같이 하십시오.

  1. 감염된 장치에 Sophos Endpoint Protection이 없는 경우 설치합니다.

  2. 전체 스캔을 실행합니다.

    그러면 감염이 제거됩니다.

  3. 여전히 해당 위치에 .lnk 파일이 저장되면 새로운 감염이 발생한 것입니다. .lnk 파일을 찾고 샘플을 제출합니다.

  4. Autoruns for Windows를 다운로드하고 이를 사용하여 웜을 찾습니다.

    Microsoft Autoruns를 사용하여 감지되지 않는 맬웨어를 찾는 방법을 참조하십시오.

  5. 다음은 웜을 찾을 가능성이 가장 높은 위치이므로 확인해야 합니다.

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  6. 보고 있는 사용자 계정을 변경합니다. 비표준 사용자 계정이 웜을 로드하는 중일 수 있습니다. Autoruns에서 다른 사용자를 보려면 다음과 같이 하십시오.

    1. 파일 > 관리자 권한으로 실행을 클릭합니다.

      Autoruns의 정보가 다시 로드될 때까지 기다립니다.

    2. 사용자를 클릭하고 각 사용자 계정에서 웜을 확인합니다.

      이 웜은 다른 사용자 계정에 숨을 수 있습니다. 다음 이미지는 Autoruns에서 감염된 사용자 계정 정보의 예를 보여줍니다.

      이 스크린샷은 LNK 웜에 감염된 사용자 계정을 보여줍니다.

  7. 파일을 찾았으면 압축하여 파일이 실행되지 않도록 합니다.

  8. 파일을 제출합니다.

    Sophos에서 샘플 제출에 대해 대응 조치를 취합니다. 악성 파일인 경우 Sophos는 서명 파일을 업데이트합니다.

  9. 전체 스캔을 수행하고 새 감지가 정리되었는지 확인합니다.

  10. 여전히 활성 LNK 웜의 징후가 있는 경우 장치에 감지되지 않은 추가 맬웨어가 있는 것입니다. 단일 변종 또는 보호되지 않은 장치가 보호 및 정리된 장치에서 새로운 .lnk 맬웨어를 생성할 수 있으므로, 웜을 제거하는 데 여러 번의 시도가 필요할 수 있습니다. 이를 처리하려면 다음과 같이 하십시오.
    1. 모든 장치에 대해 전체 스캔을 실행합니다.
    2. Source of Infection을 다시 실행하여 감염의 출처를 확인합니다.
    3. 더 이상 장치에 .lnk 맬웨어 파일이 복제되지 않을 때까지 이 단계를 반복합니다.

악성 LNK 웜 수정 비디오

이 비디오에서는 이 워크플로에 대해 설명합니다.