KISA 공지된 해킹 및 악성코드 점검 방법

KISA 에서는 아래와 같이 파일 및 해시값을 포함한 악성코드 정보를 제공하고 있다. 

이를 기반으로 점검을 수행하고, 악성코드로 파악되는 파일에 대한 조치를 빠르게 수행하여, 보안 대응을 수행한다.

 

링크 : 

https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=71735

KISA 보호나라&KrCERT/CC

 

아래의 스크립트를 각 Linux VM에 생성하고, 수행하여 결과를 점검한다.

 

1. 점검 스크립트 작성

 

vi malware_check.sh

 

#!/bin/bash

# 검색할 디렉토리 (전체 시스템 '/' 또는 '/home' 등으로 제한 가능)
SEARCH_DIR="/"

# 임시파일
TEMP_HASH_LIST="/tmp/malware_hashes.txt"
TEMP_SCAN_RESULT="/tmp/scan_result.txt"

# 악성 해시 목록
cat > "$TEMP_HASH_LIST" <<EOF
MD5 3c54d788de1bf6bd2e7bc7af39270540
MD5 fbe4d008a79f09c2d46b0bcb1ba926b3
MD5 c2415a464ce17d54b01fc91805f68967
MD5 aba893ffb1179b2a0530fe4f0daf94da
MD5 e2c2f1a1fbd66b4973c0373200130676
MD5 dc3361ce344917da20f1b8cb4ae0b31d
MD5 5f6f79d276a2d84e74047358be4f7ee1
MD5 0bcd4f14e7d8a3dc908b5c17183269a4

SHA1 67a3a1f8338262cd9c948c6e55a22e7d9070ca6c
SHA1 0f12ab32bac3f4db543f702d58368f20b6f5d324
SHA1 4b6824ed764822dc422384cec89d45bbc682ef09
SHA1 213dbb5862a19a423e5b10789a07ee163ab71969
SHA1 7e7234c5e94a92dd8f43632aca1ac60db7d96d56
SHA1 c2717777ba2cb9a698889fca884eb7650144f32e
SHA1 a778d7ad5a23a177f2d348a0ae4099772c09671e
SHA1 b631d5ed10d0b2c7d9c39f43402cccde7f3cb5ea

SHA256 925ec4e617adc81d6fcee60876f6b878e0313a11f25526179716a90c3b743173
SHA256 29564c19a15b06dd5be2a73d7543288f5b4e9e6668bbd5e48d3093fb6ddf1fdb
SHA256 be7d952d37812b7482c1d770433a499372fde7254981ce2e8e974a67f6a088b5
SHA256 027b1fed1b8213b86d8faebf51879ccc9b1afec7176e31354fbac695e8daf416
SHA256 a2ea82b3f5be30916c4a00a7759aa6ec1ae6ddadc4d82b3481640d8f6a325d59
SHA256 e04586672874685b019e9120fcd1509d68af6f9bc513e739575fc73edefd511d
SHA256 adfdd11d69f4e971c87ca5b2073682d90118c0b3a3a9f5fbbda872ab1fb335c6
SHA256 7c39f3c3120e35b8ab89181f191f01e2556ca558475a2803cb1f02c05c830423
EOF

# 검사 시작
echo "[*] 시스템 스캔 시작: $SEARCH_DIR"
find "$SEARCH_DIR" -type f -size -5M 2>/dev/null | while read -r file; do
    md5=$(md5sum "$file" 2>/dev/null | awk '{print $1}')
    sha1=$(sha1sum "$file" 2>/dev/null | awk '{print $1}')
    sha256=$(sha256sum "$file" 2>/dev/null | awk '{print $1}')

    if grep -q "MD5 $md5" "$TEMP_HASH_LIST"; then
        echo "[!] 감지됨 (MD5): $file" | tee -a "$TEMP_SCAN_RESULT"
    fi
    if grep -q "SHA1 $sha1" "$TEMP_HASH_LIST"; then
        echo "[!] 감지됨 (SHA1): $file" | tee -a "$TEMP_SCAN_RESULT"
    fi
    if grep -q "SHA256 $sha256" "$TEMP_HASH_LIST"; then
        echo "[!] 감지됨 (SHA256): $file" | tee -a "$TEMP_SCAN_RESULT"
    fi
done

echo
if [ -s "$TEMP_SCAN_RESULT" ]; then
    echo "[*] 감염 가능 파일이 발견되었습니다. 결과 확인: $TEMP_SCAN_RESULT"
else
    echo "[*] 의심 파일이 발견되지 않았습니다."
    rm -f "$TEMP_SCAN_RESULT"
fi

rm -f "$TEMP_HASH_LIST"

 

:wq! 입력하여 저장 후 종료

 

2. 스크립트 권한 부여 및 실행

chmod +x malware_check.sh

sudo ./malware_check.sh

 

3. 결과로 나온 파일 내역 확인

- 파일 내 기재된 내역은 해당 파일, 해시값의 존재 여부 이므로 있는 경우 삭제 등 조치 수행