울지않는벌새 : Security, Movie & Society

Windows Sysinternals Autoruns 이용한 수상한 서비스 등록값을 찾는 방법

벌새::Security
사용자 PC가 부팅을 시작하면서 Windows 바탕화면이 생성되는 과정 중 자동으로 실행되도록 구현하기 위하여 악성 프로그램은 다양한 방식으로 등록을 합니다.

우리가 일반적으로 알고 있는 시작 프로그램에 등록하는 방법 이외에 많이 사용되는 방법 중의 하나가 서비스(Services) 항목에 등록하여 시스템 시작시 자동 실행되도록 구현할 수 있습니다.

마이크로소프트(Microsoft)사에서 무료로 제공하는 Windows Sysinternals Autoruns 도구를 이용하여 초보자들이 악의적으로 등록된 서비스 항목을 찾는 방법에 대해 간단하게 알아보도록 하겠습니다.

Autoruns 프로그램을 실행하면 자동으로 프로그램에 등록된 각 항목에 대해 검사를 하며, 이번에 살펴볼 서비스(Services) 항목에 등록된 값은 [Services] 탭을 클릭하여 보실 수 있습니다.

기본적으로 해당 서비스 항목에는 Windows에서 기본값으로 제공되는 다수의 등록값이 포함되어 있으며, 사용자는 이들 중에서 악성 프로그램이 등록한 서비스 값을 찾기 위해 다음과 같은 설정을 변경할 수 있습니다.

Autoruns 프로그램의 메뉴 중 [Options - Hide Microsoft and Windows Entries] 항목을 체크한 후, Refresh(②번) 버튼을 클릭하여 마이크로소프트와 Windows에서 등록한 값을 제외 처리를 하도록 합니다.

해당 설정 변경을 통하여 Windows 기본값 이외에 악성 프로그램이 설치한 악성 서비스 등록값 또는 다른 프로그램이 설치한 정상적인 서비스 등록값을 보실 수 있습니다.

설정값 변경으로 제시되는 서비스 등록값을 살펴보면 일부 등록값(예, rpcapd)은 정상적인 프로그램 설치로 인해 등록된 것이지만, 나머지 등록값을 게시자(Publisher)가 없거나 Windows 기본 서비스 등록값이 아니므로 검증이 필요해 보입니다.

예를 들어, apocalyps 서비스 항목에 대해 악성 여부를 확인하기 위해서는 해당 서비스 항목의 등록 파일(Image Path)에 제시된 [C:\WINDOWS\system32\apocalyps.dll] 파일을 바이러스토탈(VirusTotal) 인터넷 서비스에 파일을 업로드하여 국내외 보안 제품에서의 진단 결과를 확인하는 것이 가장 빠릅니다.

실제 검사 결과를 확인해보면 15/42개 제품의 비율로 해당 파일을 악성 파일로 진단하는 것을 통해 해당 apocalyps 서비스 등록값은 악성 프로그램에 의해 등록된 것임을 추정할 수 있습니다.

이런 악성 서비스를 제거하기 위해서는 기본적으로 보안 제품을 통한 정밀 검사를 통해 문제를 해결할 수 있으며, 수동으로 제거하는 방법은 기본적인 다음과 같습니다.

예시에서는 apocalyps 서비스를 제거하는 방법을 통해 살펴보도록 하겠습니다.

1. 서비스 동작 중지하기

[시작 - 실행 - services.msc] 명령어를 이용하여 제어판의 서비스 창을 실행하여 apocalyps 서비스 항목을 찾아 더블클릭을 합니다.

apocalyps 서비스 항목의 속성값 중 서비스 상태의 [중지] 버튼을 클릭하여 현재 동작하는 서비스를 중지시킵니다.

2. 파일 및 레지스트리 삭제

이제 apocalyps 서비스를 동작시키는 파일(C:\WINDOWS\system32\apocalyps.dll)과 레지스트리 값을 찾아 수동으로 삭제를 하시면 됩니다.

서비스 항목의 상위 레지스트리 값 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 중에서 서비스 이름 apocalyps를 근거로 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\apocalyps] 값을 찾아 삭제를 하시면 됩니다.

국내외에서 제작된 악성 프로그램 중에는 서비스로 등록한 후 svchost.exe 프로세스를 이용한 메모리 상주 또는 부팅 과정에서만 동작 중 중지하는 방식으로 실행하여 사용자 몰래 정보 유출, 추가적인 다운로드 등의 악의적인 동작을 할 수 있으므로 서비스 등록값을 점검하실 때 참고하시기 바랍니다.