보안관닷컴 [우키의 보안 이야기]

  Trendmicro는 세계백신시장에서 점유율 3위의  보안기업입니다.  타 업체와는 달리  바이러스방어와 연관된 사업에만 집중하고 있는 기업이지요. 과거에 국내의 A사와  글로벌기업인 S사의 백신을 사용한 적이 있었는데  4년전부터 Trendmicro의 Officescan이란 백신시스템을 사용하고 있습니다.   개인이 백신을 사용할 때의 주된 선택 기준은 백신자체의 치료율입니다.  하지만  기업에서 백신시스템을 선택할 때의 기준은  운영및 통제가 얼마나 쉽고 정확하게 이루어 지느냐라고 할 수있습니다.  치료율이 좋은 백신들이 대부분 무겁다는 사실은  기업에서는 그다지 반가운 일이 아니지요..    Officescan이 확실히 치료율이 우수한 백신이라고 하기는 힘든 면이 있습니다.  하지만 기업내에 흩어져 있는 수많은 클라이언트들을 한눈에  보고 쉽게 관리할 수 있게 해주는 면에 있어서는 탁월하다고 할 수 있습니다.

  기업내에선 네트웍 대역폭이 매우 작은 지점들이 다수 존재합니다.  백신은 매일 한번씩은 패턴 업데이트를 다운받아야 하는데  패턴의 용량이 갈수록 커지는 현실을 놓고 볼때   어떻게 백신 클라이언트들을 관리할 것이냐는 어려운 문제라고 할 수있습니다.  트렌드에서는 기존에 Update agent를 통해서  이런 고민에 대해서 해결책을 제시해왔고  최근 Officescan10 버전이 나오면서 Smartscan이라고 하는 새로운 Cloud방식의 관리로  새로운 해결책을 제시했습니다.  Smartscan은 차후에 다시 언급하기로 하고 여기서는 Update agent을 구성하고 사용하는 방법에 대해서 정리해보았습니다.

==================================================================
상      황 : 1M 대역폭의 전용선 에  50대의 PC를 보유하고 있는  A지점
요구사항: 50대의 pc중에서 한 대만 중앙서버로부터 패턴을 업데이트 받고 
              이 pc를 통해  내부의 다른pc들에 설치된 백신이 업데이트 되게하라.
              백신업데이트때문에  업무트래픽이 느려지거나 장애가 발생해서는 안된다.
해 결 책:  지점의 한 PC를 Update agent로 설정하고  
              A 지점에서는 이 update agent를 통해서  패턴을 업데이트 받게 한다.
===================================================================

1. 준비: 일단 Updateagent로 사용할 시스템을 준비한다.  서버가 아니라도 상관이 없다 (XP도 가능)
    될수있으면 24시간 켜있는 시스템을 활용하는것이 좋다. (이중화를 위해 여러대를 설정할 수도 있다)
    지점의 시스템은 Officescan 백신 client가  이미 설치되어 있어야 한다.

2.  먼저 Update agent를 만들어야 한다.  (중앙서버의 웹콘솔에서 작업 가능)
   1) Networked Computers / Client Management 메뉴로 이동
   2) Update agent로 사용할 시스템을 클릭한다.
   3) 상부의 Settings메뉴를 클릭하여  [Update agents settings]항목을 클릭한다.    4) update agent settings 창이 나오면 아래와 같이  [clients can act as Update agents] 항목을 체크한다   5) 이제 막 만든 Update agent를 웹콘솔에서 확인할 수 있다.  아이콘이 색다르다. (약간의 시간 소요)
3.  이제는 Update 정책을 만들어 주어야 한다.
   1) 웹콘솔에서  Updates / Network computers/ Update source 메뉴로 이동
   2) A지점의 네트웍 대역을 입력한다.
   3) 조금 전에 만든 Update agent가 리스트에 나오는데  이것을 선택해준다.
   4) 저장
 
4. Update정책의 확인하고 배포합니다.
   1) A지점의 아이피 대역과  Update agent 시스템의 업데이트 주소를 확인합니다.
   2) Notify All Clients 버튼을 클릭하여  정책을 배포합니다.
  
    3) 제안: Update agent외의 어떤 pc도 중앙서버에서 패턴을 받아가는 일이 없도록 하기위해서
        Update source 메뉴의 상단에 보이는 [Update from Officescan server if all ......]을 체크한다.
        실제로 Update agent가 다운되면  A 지점의 pc들은  중앙서버가 아닌 인터넷상에 존재하는
        Trend update  서버에 접속하여  업데이트를 받게된다.  

5. Update agent의 정상 작동 확인
    1) 실제로 A지점의 백신클라이언트들이  Update agent로부터 업데이트를 잘 받아 갈 수 있을지 확인하려면
       http://update_agent_update_url/server.ini 를 접근해 본다.
       다운로드가 되면  update agent가 정상 작동하고 있는 것이다.  

     2) 클라이언트 PC의 아래 경로에서 실제 클라이언트들의 업데이트 로그를 확인해본다.
       디렉토리 위치: C:\Program Files\Trend Micro\OfficeScan Client\ConnLog\
       가장 확실한 점검이죠.. ^^

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신 officescan, Updateagent

1. Go to Services and stop the OfficeScan Master Service.
  
2. Open a command prompt and then go to C:\Program Files\Trend Micro\OfficeScan\PCCSRV.
  
3. Run the following command:
    SVRSVCSETUP.EXE -uninstall
4. Exit the command prompt.
 
5. Open the Registry Editor.
   Important: Always back up the whole registry before making any modifications. Incorrect changes to the registry can cause serious system problems.

6.Go to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
 
7.Make sure that ofcservice hive is deleted.
 
8.Go to HKEY_LOCAL_MACHINE\SOFTWARE\Trend Micro\OfficeScan\.
 
9.Delete the OfficeScan hive.
 
10.Go to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
 
11.Delete the OfficeScan Management Console-<ServerName> folder.
 
12.Go to the C:\Program Files\Trend Micro\OfficeScan\PCCSRV folder.
 
13.Undo the sharing of the \PCCSRV folder.

14.Reboot the server.
 
15.Go to C:\Program Files\Trend Micro\OfficeScan\PCCSRV and delete the \PCCSRV folder.
 
16.Delete the OfficeScan Web site in the Internet Information Services (IIS).
    a.Open the IIS console.
    b.Expand the ServerName.
    c.If you installed OfficeScan on a separate web site, go to Web Sites folder and then delete OfficeScan.
    d.If you installed OfficeScan virtual directories under Default Web Site, go to Default Web Site and then delete the OfficeScan virtual directory.
 

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신 officescan

     Note: Make sure you have logged on using an account with Administrator privileges.
 1. Right-click on the OfficeScan system tray icon then select Unload OfficeScan.
If you are asked for a password, enter the unload password then click OK. If you do not know the password, skip this step.
 2. Open the Windows Services console (services.msc).
 3. Stop the following services:
   - OfficeScanNT Listener
   - OfficeScanNT RealTime Scan
   - OfficeScanNT Personal Firewall
    Note: The services will already be stopped if you were able to unload the OfficeScan client in Step 1.
 4. Click Start > Programs, right-click on Trend Micro OfficeScan Client then click Delete.
 5. Open the Registry Editor (regedit.exe).
   Important: Always make a back up copy of the whole registry before making any modifications. Incorrect changes to the registry can cause serious system problems.
 6. 
    a. Delete the following registry key(s):
         If only the OfficeScan client program is installed:
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro
         If there are other Trend Micro products installed:
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\NSC
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\OfcWatchDog
      HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp
    b.Delete the following registry key:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OfficeScanNT
    c. Delete the following registry value:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      Name: OfficeScanNT Monitor (REG_SZ)
    d. Delete all instances of the following registry keys in the following locations:
            Locations:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
       HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services
           Keys:
       ntrtscan
       tmcfw
       tmcomm
       TmFilter
       Tmlisten
       tmpfw
       TmPreFilter
       TmProxy
       tmtdi
       VSApiNt
       ntrtscan
7. Close the Registry Editor.
8. Click Start > Settings > Control Panel then double-click System.
9. Click the Hardware tab then click Device Manager.
10.Click View > Show hidden devices.
11.Expand Non-Plug and Play Drivers then uninstall the following devices:
    tmcomm
    Trend Micro Filter
    Trend Micro PreFilter
    Trend Micro TDI Driver
    Trend Micro VSAPI NT
 
12. Uninstall the Common Firewall Driver:
    a. Right-click on My Network Places then click Properties.
    b. Right-click on Local Area Connection then click Properties.
    c. On the General tab, select Trend Micro Common Firewall Driver then click Uninstall.
      For Windows Vista clients, do the following:
    a. Right-click on Network then click Properties.
    b. Click Manage network connections.
    c. Right-click on Local Area Connection then click Properties.
    d. On the Networking tab, select Trend Micro Common Firewall Driver then click Uninstall.
13. Restart the computer.
14. Delete the following directory:
     If only the OfficeScan client program is installed:
     C:\Program Files\Trend Micro
     If there are other Trend Micro products installed:
     C:\Program Files\Trend Micro\OfficeScan Client

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신 officescan-uninstall

요즘은 바이러스가  시스템 깊숙히 숨는 경향이 있기때문에  찾는 것이 쉽지않습니다.
백신을 돌려서 치료를 다 했는데도 여전히 비정상적인 활동을 보이는 pc가 있다면
ICE sword 등을 이용하여  수상한 파일을  찾을 수있는데요  사용법이 복잡합니다.
아직 백신이 검색 하지 못하는 의심파일을 추출하여  백신사에 재빨리 보내는 것이 중요한데요..
이럴때 쓸 수 있는 프로그램이 바로  이것입니다.
SIC 프로그램은  시스템의 세부 정보들과 의심스런 파일을 손쉽게 수집할수있게해줍니다.

다운로드 URL:
http://www.trendmicro.com/download/sic.asp

로그파일 생성위치:  SIC프로그램 아래의 SICLOG 폴더
로그파일 명:   SICLOG*****  라는 파일
주요 검색어: Rootkit Information 라는 단어를 찾아서 그 하단의 내역에 주목하세요
의심파일을 추출해보도록 하겠습니다.  [Retrieve file]버튼을 클릭하시면  의심파일 리스트가 뜹니다.
여기서 정상파일은 제외하고   압축하면 되겠습니다.
SIC 프로그램 폴더내에 생긴 SUSPECT 파일이  바로 샘플파일이 되겠습니다.
이 파일은 백신사에 보내어  분석하여 새로운 백신패턴에 적용되도록 하면 되겠네요...

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신 SIC, Trend

   트렌드마이크로의 기업용 백신인 Officescan은  기본적으로 OS가 설치된 드라이브에 설치되도록 되어있습니다.  이외의 디렉토리를 지정해서 설치할 수 없게 되어 있습니다.  설치시   설치위치를 물어보지않죠..  그러면...  서버의 경우  C드라이브 공간이 매우 적게 잡혀있는 경우  매우 곤란하게 됩니다. 임시파일을 다운로드 받고   그 파일을 풀어서  드라이브에 설치하는데 350M정도의 여유가 필요합니다. C드라이브에 그 이하의 공간만 남아있다면  아마도 설치에 실패하실 것입니다.  난감한거죠...

이럴땐  다른 드라이브에 설치가능한  별도의 설치패키지를 만들어야 합니다.
여기선  d:\ProgramFiles\Trend Micro\OfficeScan Client\폴더에 설치하는 패키지를 만들어보겠습니다.

▶ 설치환경파일 편집하기
트렌드 Officescan 중앙서버의  OfficeScan\PCCSRV 폴더내부에 있는 ofcscan.ini 파일을 열어보세요
이 파일은 서버에 저장된 제반 정책및  여러가지 환경설정값들이 들어있습니다.
먼저 이 파일의 백업본을 만들어두세요.. (패키지를 만든후 다시 원복해야하니까요) ofcscan_bakcup.ini
WinNT_InstallPath=$ProgramFiles\Trend Micro\OfficeScan Client 항목으로 이동합니다.
WinNT_InstallPath=d:\ProgramFiles\Trend Micro\OfficeScan Client 라고 바꿔줍니다.

▶ 설치패키지를 만들겠습니다.
D:\OfficeScan\PCCSRV\Admin\Utility\ClientPackager 폴더로 이동합니다.
ClnPack.exe 를 실행합니다.
아래와 같이 패키지를 만드면 됩니다.

▶ 환경파일을 원복합니다.
  트렌드 Officescan 중앙서버의  OfficeScan\PCCSRV 폴더내부에 있는 ofcscan.ini 파일을 원복하세요
이거 잊으시면 예기지 않은 에러를 만나게 될 수도 있으니까요... 

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신 officecan

  인터넷에 접속되지않거나  기존에 트렌드에서 제공하는 active update서버에 접속이 되지않는 경우 TMCM을 이용하여  최신 버전으로 업데이트가 가능합니다.  네트웍 구조에 따라서 피치못하게  Trend active update서버에서 업데이트를 할 수 없는 경우  아래 방법을 사용하시면 되겠습니다.

Officescan 업데이트 서버 주소: http://osce8-p.activeupdate.trendmicro.com/activeupdate

TMCM 업데이트 주소http://TMCM_server_IP_address:8080/controlmanager/download/activeupdate/

트렌드에서 제공하는 Active Update 링크에서  TMCM서버의 업데이트 링크로 바꾸기
1. 웹콘솔에서 Update / Server / Update source 메뉴로 이동
2. Other update source 선택하고   TMCM업데이트 링크를 입력한다.
3. 저장하고 나온다.  ^^

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신

  많은 바이러스가 쏟아져 나오지만  백신은 바이러스들을 잘 처리 못하는 경우가 많습니다.  특정 파일네임을 공유폴더내에 쓰기시도하는 것으로  공격을 시작하는 경우  Outbreak prevention설정은 매우 유용한 방어 수단이 될 수있습니다.

   실제로 며칠전에 WORM_MALISA.H 란 바이러스가  공격이 들어온 적이 있었는데요..
공유폴더상에 위치한 몇개의 파일들을 쓰기 시도하는 것을 볼수있었습니다.

WORM_MALISA.H 바이러스의 고약한 동작 방식은 이랬습니다.
1. 먼저 아래의 보이는 파일들을  공유폴더상에 만들어냅니다.
   이런 파일들을 쓰면서  공격이 시작되더군요...
  c:\autoply.exe
  %AppData%\usrinit.exe
  %LocalSettings%\startup.exe
  %Temp%\systray.exe
  %ProgramFiles%\Common Files\AdobeUpdate.exe
  %ProgramFiles%\XPCode\SexGame.exe
  %ProgramFiles%\XPCode\SexGameList.pif
  %ProgramFiles%\XPCode\SexScreenSaver.scr
2. 공유폴더상의 기존 실행파일의 이름에 lib라는 문자를 추가하여  rename시킵니다.
    (aaa.exe -> aaalib.exe)  --> 이때는 백신이 동작하지 않습니다.
3. rename시키면서  해당실행파일을 숨김속성으로 바꾸어 버립니다.
    (다행히 파일 삭제는 하지않습니다)
4. 그리고 나서 바이러스 자신이  원래의 파일인양  이름을 바꾸어 들어갑니다.
   --> 이때 백신이 동작하면서 바이러스를 지우게 됩니다.
   --> 하지만 이미 일부 실행파일들은  침해를 당한 이후가 되게 됩니다.  ㅠㅠ

 바이러스 동작 특성 상  백신은 바이러스를 잘 차단하고 있는데도  서비스에 악영향을 주게 되더군요..
그래서  아예 공격이 시작되지않도록   Ountbreak Prevention 설정을 하게 되었습니다.
최초 공격이 시도되는 파일을 차단함으로서 감염확산을 막을 수 있었습니다.

 지금부터 Trend의 Officescan서버에서 outbreak prevention설정을 시작해보도록 하겠습니다.
사실 다른 백신에서도 유사한 설정을 하는 것이 가능합니다.

1. Outbreak Prevention메뉴 클릭
    참고로 이 메뉴는 해당 서버내의 모든 officescan client에게 영향을 주게 됩니다.
    영향을 잘 고려하시어 어떤 정책을 가져갈지 결정하시기 바랍니다.

2. Start Outbreak Prevention 버튼 클릭

3. Outbreak Prevention설정하기
    1) limit/ deny access to share foleders : 공유폴더에 쓰기 기능 차단 (주의요망)
    2) deny write access to files and folders: 폴더,파일 쓰기 차단 (추천)
        바이러스가 예상되는 파일들을 미리 이곳에 설정해두세요...  예)autorun.inf등....
    3) break시간을 설정해주어야합니다. 기본으로 48시간입니다. 48시간후면  차단이 풀립니다.
        항상 break시간을 상기해서  예상되는 바이러스파일들을 사전에 차단하는거을 추천합니다.
    4) client에 알림설정은 하지않는 것이 좋은듯합니다. 저는 안합니다. 괜히 불안감 조성하죠.. ^^
    5) Start outbreak prevetion버튼을 누르면 그때부터 지정시간동안 차단이 됩니다.
       설정값들을 다 넣은후   마지막에 실행하면 되겠습니다.4. deny write access to files and folders의 세팅사례입니다. 

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신

 고객으로 부터  잘 보이던  USB메모리의 폴더가 보이지 않는다는 신고를 받았습니다.
USB가 고장난 것인지 보안때문에 막힌 것인지 확인해달라고 하더군요..^^

 바이러스 피해를 입고 난 후  USB메모리가 종종 이런 현상을 보이는것을 경험했었기 때문에..
해당 PC에 원격으로 접속해보니  USB메모리의 폴더들이 보이지 않고 있었습니다.
물론 용량은 어느정도 차지하고 있더군요..
그렇다면.. 결론은  파일은 있다...  다만 보이지 않을 뿐...

▶ 조치방법1 (일반 사용자는 이 방법으로 )  
폴더옵션에서  숨김폴더와 파일이 보이도록 설정했습니다.

자 이제 Hidden모드인 폴더들이 뿌옇게   보이는군요..  다시  정상적인 폴더로 보이도록 바꾸었습니다.
바이러스는 걸려있지 않더군요..  피해의 여파가 남아있는듯 했습니다.
 (아래 그림은 이해를 돕기위해 제 컴의 화면입니다.)

정상이 되었습니다.  이제부터  자유롭게 사용할 수있겠죠?

▶ 조치방법2 (고급 사용자는 이 방법으로 )  
위 과정이 귀챦게 여겨지시는 분들은  아래 커맨드를 사용하셔도 되겠습니다.
1. 실행창에서 CMD라고 치고나 후 엔터  (명령프롬프트..실행)
2. attrib -r -a -s -h w:\*.*  /s /d  엔터...
아래와 같이 실행되었습니다.  ^^


 

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신

Trendmicro의 Officescan 서버의 바이러스 스캔 정책을 백업하는 방법을 정리해봅니다.

1. 백업하기
  1) 왼쪽 메뉴바의  Network Computers / Client Management를 선택해줍니다.
  2) 오른쪽 Management 창에서  최상위에 (또는 특정 도메인)  마우스를 클릭하여 커서를 위치시킵니다.
  3) Settings 메뉴의 Export Settings 를 클릭합니다.
  4) 새로 뜬 Export 창에서  [Export]버튼을 클릭하여  정책파일을 저장합니다.

2. 정책파일로 부터 적용하기
  1) 왼쪽 메뉴바의  Network Computers / Client Management를 선택해줍니다.
  2) 오른쪽 Management 창에서  최상위에 (또는 특정 도메인)  마우스를 클릭하여 커서를 위치시킵니다.
  3) Settings 메뉴의 Import Settings 를 클릭합니다.
  4) 백업받아두었던 정책파일을 적용합니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신

Confiker  웜바이러스는 현재까지는 역대최강의 바이러스라 할만 합니다.

크리에이티브 커먼즈 라이센스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

우키 보안운영/백신