Windows 주요프로세스 분석

1. lass.exe(Local Security Authority Subsystem Services)

 

(1) 프로세스 목적 및 기능

 

▶ 보안정책적용을 담당하는 프로세스

 

▶ 패스워드 변경, Access Tokens 생성, 사용자 인증

 

▶ 악성코드가 자주 사용하는 이름 중 하나

 

 

(2) 이상할 때

 

▶ 실행경로가 %systemroot%\system32가 아닐 때

 

▶ 자식 process를 소유할 때

 

▶ 프로세스 시작시간이 시스템 부팅시간과 많이 차이날 때

 

▶ CPU점유율이 과도하게 높을 때

 

 

2. svchost.exe(Service host)

 

(1) 프로세스 목적 및 기능

 

▶ 동적라이브러리(DLL)에서 실행되는 윈도우의 서비스를 제어

 

▶ 윈도우 부팅 시 레지스트리의 서비스를 검사

 

▶ 로드해야 할 서비스의 대상, 위치, 시작방법을 확인

 

▶ 실행파일의 경로는 "C:\Windows\System32" 

 

 

(2) 이상할 때

 

▶ 윈도우 서비스와 관련이 없는 경우

 

▶ 부모프로세스가 services.exe가 아닌 경우

 

▶ 파일의 위치가 %systemroot%\system32 가 아닐 때

 

▶ 비슷한 이름으로 위장하는 경우

(scvhost.exe, svchosts.exe 등)

 

 

3. csrss.exe(Client Server Runtime Process)

 

(1) 프로세스 목적 및 기능

 

▶ 부모프로세스는 smss.exe

 

▶ 응용프로그램들이 Win32 API를 호출할 때 커널이 응답하도록 중계역활

 

▶ 프로세스나 스레드의 생성 및 삭제

 

▶ 윈도우콘솔(GUI)에서 명령을 호출할 수 있도록 함

 

▶ 실행파일의 경로는 "C:\Windows\System32" 

 

 

4. smss(Session Manager Subsystem)

 

(1) 프로세스 목적 및 기능

 

▶ 동적라이브러리(DLL)에서 실행되는 윈도우의 서비스를 제어

 

▶ 윈도우 부팅 시 레지스트리의 서비스 부분을 검사

 

▶ 프로세스나 스레드의 생성 및 삭제

 

▶ 윈도우콘솔(GUI)에서 명령을 호출할 수 있도록 함

 

▶ 실행파일의 경로는 "C:\Windows\System32" 

 

 

(2) 이상할 때

 

▶ 부모프로세스가 시스템 프로세스(PID 4)가 아닌경우

 

▶ 자식 프로세스가 Winlogine.exe가 아닌경우

 

▶ 일반 유저 프로세스보다 PID가 높은(숫자) 경우

 

▶ 실행경로가 %systemroot%\system32가 아닐 때

 

 

5. service.exe

 

(1) 프로세스 목적 및 기능

 

▶ Service Control Manager

 

▶ 서비스 콘솔안의 프로세스를 실행시키거나 종료

 

▶ 부팅 시나 사용자요구 시 각종 드라이버나 서비스를 로드

 

▶ 현재 실행중인 서비스와 드라이버정보 및 상태유지

 

▶ 유지된 정보를 통해 다른서비스와 사용자의 요구에 응답

 

▶ 실행파일의 경로는 "C:\Windows\System32" 

 

▶ 부모프로세스는 Winlogin.exe

 

 

6. Winlogin.exe

 

(1) 프로세스 목적 및 기능

 

▶윈도우 로그인 화면에서 SAS키 조합을 담당

※SAS(Secure Attention Sequence)는 로그인 화면을 보여주는 특별한 키조합

 

▶ 계정 아이디와 패스워드가 일치하는지 확인

 

▶ 로그온이 되면 사용자 프로필 및 환경설정 로드

 

▶ 화면보호기 동작 시 PC 잠금기능

 

▶ 실행파일의 경로는 "C:\Windows\System32" 

 

▶ 부모프로세스는 smss.exe

 

▶ 자식프로세스는 Service.exe

 

 

7. userinit.exe

 

(1) 프로세스 목적 및 기능

 

▶ 부팅 후 시작버튼, 트레이, 작업표시줄 등을 로드

 

▶ Windows 사용자 셸인 explorer.exe를 호출

 

▶ 위 작업 종료 후 자동종료

 

▶ 실행파일의 경로는 "C:\Windows\System32" 

 

 

(2) 이상할 때

 

▶ 일정시간이 지난 후에도 프로세스가 동작중일 경우

 

예를 들면

 

일반적으로 cmd.exe의 부모프로세스는 svchost.exe이다.

 

svchost.exe의 부모프로세스는 service.exe이다.

 

근데 이와 다르거나, 프로세스명이 이상한 경우 의심할 필요가 있다.

 

---

 

또한

 

C&C서버가 도메인을 사용할경우 

 

Domain Name Service 정보를 확인하여

(cmd명령어 >> ipconfig /displaydns)

 

DNS Cache에 질의했던 도메인과 IP정보가 남아있다면 

 

주기적으로 질의를 했다면 

 

IP정보를 받아와야하기 때문에 도메인정보가 남아있을 수도 있다.

 

---

 

hosts 파일을 변조하여 

 

파싱 및 파밍사이트로의 접속을 유도할 수 있다.

(파밍은 피싱의 발전된 방법중 호스트파일을 변조하여

동일한 도메인으로 사용자를 속이고 가짜사이트에 접속하도록 함)

 

hosts.ics(Internet Connection Sharing/인터넷연결공유) 파일을 생성하여

 

악성사이트로 유도가능

 

hosts파일보다 hosts.ics파일이 우선순위가 높지만

 

일반적으로 사용하지 않으며 파일이 생성 시 

 

악성코드 감염에 대한 의심이 필요하다.