반응형
악성코드는 사용자의 컴퓨터나 네트워크 시스템을 침해하거나 파괴하는 코드를 말합니다. 그 중 랜섬웨어는 가장 대표적인 예로, 사용자의 시스템에 침투하여 중요한 데이터를 암호화하고, 그 해독 키를 얻기 위해 대가를 요구합니다. 악성코드의 공격은 단순히 데이터 손실뿐 아니라, 금전적 손해, 개인정보 유출, 기업의 비즈니스 중단 등 다양한 위험을 초래합니다.
공격자는 주로 제조업, 금융 등 시스템 복구를 빨리 요하는 기업들을 주 대상으로 공격을 합니다.
공격자들은 주요 시스템들에 침입하여 거점을 활용하여 내부 확산을 통해 피해 규모를 더 크게 만들기도 합니다.
공격자가 시스템에 침입하여 악성코드를 생성 후 사용할 때 주로 사용하는 경로는 아래와 같습니다.
%userprofile%은 계정을 뜻합니다.
| 경로 | 비고 |
| C:\Windows\Temp\ | |
| C:\Windows\Tasks | |
| C:\Windows\System32\wbem\ | |
| C:\Windows\System32\Tasks | |
| C:\Windows\System32\drivers\ | |
| C:\Windows\System32\dllcache\ | |
| C:\Windows\system | |
| C:\Windows\Downloaded Program Files\ | |
| C:\Windows\ | |
| C:\Users\Public\ | |
| C:\Users\Default\ | |
| C:\Temp | |
| C:\System Volume Information\ | |
| C:\ProgramData\ | |
| C:\Program Files\HNC\ | |
| C:\Program Files\Common Files\ | |
| C:\Program Files\ | |
| C:\PerfLogs\ | |
| C:\$Recycle.Bin\ | |
| %UserProfile%\Video | |
| %UserProfile%\Picture | |
| %UserProfile%\My Documents | |
| %UserProfile%\Downloads | |
| %UserProfile%\Desktop | |
| %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup | |
| %UserProfile%\AppData\Roaming\ | |
| %UserProfile%\AppData\LocalLow\ | |
| %UserProfile%\AppData\Local\Temp\ | |
| %UserProfile%\AppData\Local\Microsoft\Windows\Temporary Internet Files\ | |
| %UserProfile%\AppData\Local\Microsoft\Windows\INetCache\ | |
| %UserProfile%\AppData\Local\ | |
| %UserProfile%\ |
반응형
'DFIR > DFIR' 카테고리의 다른 글
| 윈도우 원격 데스크톱 이벤트 로그 분석 상세 (0) | 2024.03.20 |
|---|---|
| [파일 업로드] 취약점 기록 (0) | 2023.11.25 |
| 악성 파일에 사용된 WScript Object (0) | 2023.11.25 |
| CVE-2020-1473 권한 상승 취약점 (1) | 2023.11.25 |
| 생성시간 및 수정시간 (0) | 2021.11.12 |