최근 블로그에 유입되는 키워드 중에 neshta라는 문자열이 상위 랭크에서 확인이된다.
이에 모든 neshta에는 해당하지 않겠지만, 특정 샘플을 확인하여 조치할 수 있는 방법에 대해 기재해보고자 한다.
우선, C:\Windows\svchost.com라는 파일이 생성되는데, 이 파일을 삭제해야 한다. 또한 directx.sys도 삭제해줘야 하겠다.
그리고 %APPDATA% 하위에 존재하는 악의적인 파일을 삭제한다.
그리고 C:\Windows\system32\Java라는 폴더가 "숨겨진" 상태로 존재하는데, 해당 폴더에 위치한 파일을 삭제한다.
위 그림 파일들을 너무 정상 파일 같아서, 악성 파일이라고 여겨지지 않을 수 있다. 하지만, 해당 파일이 확인된다면 반드시 삭제해주어야 하겠다.
그리고 프로세스 모니터를 보면, 아래와 같이 java-update.exe가 notepad.exe를 실행 시켜, 악의적인 행위를 진행한다. 따라서 해당 프로세스를 강제 종료하도록 해야한다.
추가적인 확인 결과, 확보한 악성 코드는 외부 공격자로부터 원격으로부터 조종 받을 수 있는 환경을 제공하므로, 각별한 주의가 필요하다.
------------------------------------------------------------------------------------------------------------------
이 글을 쓴 위에 해당 악성 코드가 외부와 통신 시에 Darkcomet RAT에서 생성한 악성 코드 임을 확인하였으며
앞서 이야기한 파일들이 본인 PC에 있을 경우, 반드시 삭제해야한다.
#Darkcomet #Neshta