악성 LNK 웜 수정 워크플로
악성 LNK 웜 공격을 수정하려면 다음 단계를 따르십시오.
소개
이 참조 자료 문서는 LNK 웜 처리에 대한 유용한 정보를 제공합니다. LNK 맬웨어 조사 방법을 참조하십시오.
위협 식별
활성 LNK 웜이 있는지 확인하려면 다음과 같이 하십시오.
- 경고를 확인하여 Sophos가
.lnk
파일을 감지하거나 정리하고 있는지 확인합니다. -
찾을 수 없을 것으로 예상되는 위치(예: 파일 공유)에서
.lnk
확장명이 반복적으로 생성되는 파일을 찾습니다.이런 파일은 감지 및 정리 후 특정 위치에 반복적으로 저장됩니다. 장치의 메모리가 감염되어 파일이 저장되는 것입니다. 감염의 출처를 찾아야 합니다.
-
사용자의 바로 가기가 더 이상 올바르게 작동하지 않을 수 있습니다.
Source of Infection을 사용하여 조사하기
감염의 출처를 찾으려면 다음과 같이 하십시오.
-
Source of Infection 도구를 다운로드하여 실행합니다. Sophos Source of Infection 도구(SOI): 다운로드 및 사용 방법을 참조하십시오.
- 조사하려는 장치로 Source of Infection 도구를 옮깁니다.
C
드라이브의 루트에SourceOfInfection.exe
의 압축을 풉니다.- 관리자 권한으로 명령 프롬프트를 엽니다.
SourceOfInfection.exe
를 찾아 실행합니다.- Enter 키를 눌러 명령을 실행합니다.
- Source of Infection을 실행 중인 상태로 둡니다. 이렇게 하려면 명령 프롬프트 창을 열어 놓아야 합니다.
- 장치에서 새로운 LNK 감지가 발생하면 명령 프롬프트 창을 닫아서 Source of Infection을 중지합니다.
-
로그 파일을 검토하여 감염의 출처를 확인합니다. 로그 파일은
%temp%\Source of Infection Log.csv
에서 찾을 수 있습니다.다음은 로그 파일의 예입니다.
날짜/시간 파일 경로 프로세스/네트워크 프로세스 경로/컴퓨터 이름 27-12-19 11:30 C:\TestShareOn2016\__\DriveMgr.exe
네트워크 192.168.30.141 27-12-19 11:30 C:\TestShareOn2016\.lnk
네트워크 192.168.30.141 감염되었을 가능성이 있으며 수정 조치가 필요한 IP를 확실히 확인해야 합니다.
이 예에서는 192.168.30.141이
TestShareOn2016
이라는 공유에.LNK
및DriveMgr.exe
를 저장하는 것으로 확인되었습니다.
활성 LNK 웜 수정
웜을 제거하려면 다음과 같이 하십시오.
- 감염된 장치에 Sophos Endpoint Protection이 없는 경우 설치합니다.
-
전체 스캔을 실행합니다.
그러면 감염이 제거됩니다.
-
여전히 해당 위치에
.lnk
파일이 저장되면 새로운 감염이 발생한 것입니다..lnk
파일을 찾고 샘플을 제출합니다. -
Autoruns for Windows를 다운로드하고 이를 사용하여 웜을 찾습니다.
-
다음은 웜을 찾을 가능성이 가장 높은 위치이므로 확인해야 합니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
보고 있는 사용자 계정을 변경합니다. 비표준 사용자 계정이 웜을 로드하는 중일 수 있습니다. Autoruns에서 다른 사용자를 보려면 다음과 같이 하십시오.
-
파일 > 관리자 권한으로 실행을 클릭합니다.
Autoruns의 정보가 다시 로드될 때까지 기다립니다.
-
사용자를 클릭하고 각 사용자 계정에서 웜을 확인합니다.
이 웜은 다른 사용자 계정에 숨을 수 있습니다. 다음 이미지는 Autoruns에서 감염된 사용자 계정 정보의 예를 보여줍니다.
-
-
파일을 찾았으면 압축하여 파일이 실행되지 않도록 합니다.
-
파일을 제출합니다.
Sophos에서 샘플 제출에 대해 대응 조치를 취합니다. 악성 파일인 경우 Sophos는 서명 파일을 업데이트합니다.
-
전체 스캔을 수행하고 새 감지가 정리되었는지 확인합니다.
- 여전히 활성 LNK 웜의 징후가 있는 경우 장치에 감지되지 않은 추가 맬웨어가 있는 것입니다. 단일 변종 또는 보호되지 않은 장치가 보호 및 정리된 장치에서 새로운
.lnk
맬웨어를 생성할 수 있으므로, 웜을 제거하는 데 여러 번의 시도가 필요할 수 있습니다. 이를 처리하려면 다음과 같이 하십시오. -
- 모든 장치에 대해 전체 스캔을 실행합니다.
- Source of Infection을 다시 실행하여 감염의 출처를 확인합니다.
- 더 이상 장치에
.lnk
맬웨어 파일이 복제되지 않을 때까지 이 단계를 반복합니다.
악성 LNK 웜 수정 비디오
이 비디오에서는 이 워크플로에 대해 설명합니다.