직장 인터넷에 보안관련 SGA PMS라는 프로그램이 설치되면서 겨우겨우 살려뒀던 USB쓰기가 차단되었다.. 보안업무라고 해봐야 요즘은 전부 인터넷으로 업무를 보기에 엑셀로 개인정보를 다룰일도 없는데 편하게 쓰다가 막아버리니 너무 답답하여 차단된 그날부터 오늘 오전까지 계속 PMS를 무력화 아니 우회라도 해보고 싶은 생각에 온갖 인터넷 검색을 해봤다..
하지만 결론부터 말하자면 내 실력으로 PMS가 설치된 이후에는 어떻게 빼도박도 못한다는것이다. 기존 PC를 포맷하여 PMS를 날려버리는 방법밖에는 해결방법이 없었다.
어제 PC를 포맷하고 SSD장치를 추가하여 속도를 높인다음 PMS를 설치해야 인터넷 검색(심지어 네이버 같은 포털마저 차단해두었다)이 되기에 지금 인터넷 검색을 하기위해 PMS설치라는 영혼을 파는순간 보나마나 USB차단까지 이어질게 뻔하기 때문에 어떻게든 최후에 보루라는 생각으로 차단페이지의 Html 정보를 훝어보았다.
자세한 내용은 아래 그림부터 별도로 설명하겠지만, PMS에 에이전트라는 항상 켜있는 두 프로그램이 있다. PASSagent.exe랑 PASvc.exe인데 이 프로그램을 구하기 위해 실행파일을 복사하는것까지 권하진 않고 그냥 시작프로그램중 임의로 두 프로그램의 파일명을 위 2개 파일명으로 바꿔준다. 그러면 에이전트가 실행되었다고 착각을 하게된다.
에이전트를 속인다음 포털에 접속하면 짜잔~ 자연스럽게 정상적인 인터넷 검색을 할수가 있다. 그런데 특이한게 공유기에서 봤던 광고페이지 기능인가? 어떻게 PMS를 깔지 않았다고 인터넷 검색을 차단할수가 있을까? 기술이 궁금하기만하다.
+ 지금까지 제일 까다로웠던 프로그램이 소리바다였던것 같다. 예전 5버젼에는 인증프로그램을 쉽게 실행할수 있었는데 6버젼으로 넘어갈때 매 실행때마다 서버에서 소리바다 설치파일을 다운받아 혹시나 변조된 파일이 없는지 초기화하는 작업후 소리바다를 실행하던 모습에 치를떨었었다.. 창과 방패의 싸움에서 누가 승자일까나?
▷ 어느날부터 PMS를 설치하지 않았는데도 에이전트를 설치하지 않으면 인터넷 검색마저 차단해버린다.. 그렇다고 PMS를 설치하니 부록은 USB쓰기 차단 프로그램을 안겨줄줄이야;;
▷ 지역에 한 사이트에서 에이전트의 정체를 알수 있었다. 두 파일이 실행되어야 에이전트가 켜져있다고 판단하고 정상적으로 넘어가는 방식이다.
이외에 사이트끝에 슬러시(/)를 하나더 입력해주는 방법이 있기는 한데 이것도 한번이지..
또 언젠가 Fasoo에서 이글을 읽고 재빨리 대응책을 만들겠지?
▷ 차단페이지의 html을 읽어보았다..
classid 라는 정보를 레지스트리에서 읽어오는것 같다. 실제 프로그램을 설치하지는 않고 이미 설치된 PC에서 위 이름의 레지스트리 4개를 추출하여 등록만 시켜준다.(레지스트리는 첨부파일에 같이 넣어두었다)
그리고 아래는 에이전트 인식후 행동이다. 에이전트가 실행중이지 않다면 차단페이지를 띄우고 에이전트가 설치되어 있다면 정상적인 사이트로 넘어가도록 설계되어있다.
아래 줄처럼 사이트 주소끝에 '/'를 하나더 추가해줘도 넘어가기는 한가보다. 하지만 검색후 사이트가 바뀌면 '/'가 제거되기 때문에 또 차단페이지가 뜨는 문제가 되풀이된다..
그냥 파일 바꿔치기로 에이전트를 속이는 방법으로 모든 악의 근원 Fasoo를 범접하지않는 방법뿐인것 같다.
=====================================
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}]
@="Sga_checker Control"
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\Control]
@=""
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\Implemented Categories]
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}]
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}]
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\InprocServer32]
@="C:\\Windows\\DOWNLO~1\\SGA_CH~1.OCX"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\MiscStatus]
@="0"
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\MiscStatus\1]
@="131217"
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\ProgID]
@="SGACHECKER.SgacheckerCtrl.1"
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\ToolboxBitmap32]
@="C:\\Windows\\DOWNLO~1\\SGA_CH~1.OCX, 1"
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\TypeLib]
@="{D7F25A52-E4B6-4804-9D48-9B3E0E324D59}"
[HKEY_CLASSES_ROOT\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\Version]
@="1.0"
======== SGA.reg
=====================================
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\SGACHECKER.SgacheckerCtrl.1]
@="Sga_checker Control"
[HKEY_CLASSES_ROOT\SGACHECKER.SgacheckerCtrl.1\CLSID]
@="{689960E6-6A4F-4171-9D66-973DBA613D9D}"
=========================================== SGA2.reg
=====================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}]
@="Sga_checker Control"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\Control]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\Implemented Categories]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\InprocServer32]
@="C:\\Windows\\DOWNLO~1\\SGA_CH~1.OCX"
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\MiscStatus]
@="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\MiscStatus\1]
@="131217"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\ProgID]
@="SGACHECKER.SgacheckerCtrl.1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\ToolboxBitmap32]
@="C:\\Windows\\DOWNLO~1\\SGA_CH~1.OCX, 1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\TypeLib]
@="{D7F25A52-E4B6-4804-9D48-9B3E0E324D59}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{689960E6-6A4F-4171-9D66-973DBA613D9D}\Version]
@="1.0"
========= SGA3.reg
=====================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SGACHECKER.SgacheckerCtrl.1]
@="Sga_checker Control"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SGACHECKER.SgacheckerCtrl.1\CLSID]
@="{689960E6-6A4F-4171-9D66-973DBA613D9D}"
댓글 3개:
시작프로그램중 임의로 두 프로그램은 어떤 걸로 하는 게 좋을까요?
몇몇개 실행되고 있는 프로세스 확인해서 이름 바꾸어도 작업관리자에는 바뀌기 전 이름으로 계속 떠서요
제 경우는 업무용 메신저 프로그램의 실행파일명을 변경해서 사용했습니다. 프로그램에 따라서 파일명을 바꾸어도 작업관리자에는 기존 파일명으로 뜨는 경우가 있는데 시작프로그램을 찾아보셔야 할것 같습니다..
댓글 쓰기