방화벽에서 이 앱의 일부 기능을 차단했습니다 | 점검 및 해결 방법

방화벽에서 이 앱의 일부 기능을 차단했습니다.

 

방화벽에서 이 앱의 일부 기능을 차단했습니다. 점검 및 해결 방법

 

"네이버 지식인 질문에 보면, 방화벽에서 이 앱의 일부 기능을 차단했습니다" Windows 보안 경고 관련하여 많은 질문이 올라오더군요, 일부 답변자의 경우 아무런 문제가 없으니 그냥 허용하면 된다고 답변을 해주던데 굉장히 위험한 답변입니다.

지속적인 Windows 보안 경고창이 뜨는 경우 점검 포인트를 알려드리겠습니다. 또한 허용 이후 점검 방법 및 해킹 증상에 대해서도 설명드리겠습니다.

 

방화벽에서 이 앱의 일부 기능을 차단(Windows 보안 경고)

 

방화벽에서 이 앱의 일부 기능을 차단

 

위 사진과 같은 "Windows 보안 경고"에서 확인해야 할 내용은 다음 네트워크 뒤에 나오는 "홈 네트워크, 회사 네트워크 등의 개인 네트워크" 체크박스, "공용 네트워크" 체크박스의 상태입니다. 해당 프로그램이 어떤 네트워크를 허용시키려고 하는지가 포인트입니다.

먼저, "체크"된 네트워크 사용자 계정에 이상한 폴더(Libraries, intel 등)나 파일이 있는지 점검하는 것이 중요합니다.

 

개인 네트워크 vs 공용 네트워크

 

네트워크 및 인터넷

 

윈도우 설치 시 "개인 네트워크", "공용 네트워크" 둘 중에 어떻게 사용할지 물어보게 됩니다. "개인 네트워크"로 설정하신 분은 "네트워크 상태"에 "개인 네트워크"라고 표시되며, "공용 네트워크"로 설정하신 분은 해당 부분에 "공용 네트워크"라고 표시됩니다.

해킹 프로그램의 경우, "개인 네트워크"를 사용하는 컴퓨터는  사용자가 사용하지 않는 "공용 네트워크" 사용자 계정에 몰래 프로그램이 다운로드합니다.(다운로드나 drop 위치는 변경이 가능합니다.)

탐색기에서 "사용자" - "공용" 폴더는 거의 확인하지 않기 때문에 크랙 프로그램을 위장한 프로그램과 같은 악성 프로그램을 통해서  다운로드나 해당 파일이 Drop 되면 지속적인 "방화벽" 알림이 뜰 수 있습니다.

 

C:\사용자

 

탐색기를 실행하시고 c:\사용자 폴더를 확인합니다.

 

사용자\공용계정

 

"공용" 또는 "Public"이란 폴더가 공용계정이며, 해당 폴더에는 기본적으로 아래 사진과 같이 "공용 다운로드", "공용 문서', "공용 비디오", "공용 사진", "공용 음악" 폴더가 기본 폴더입니다.

일부 악성 payload의 경우 Libraries 폴더 내부에 intel 이라는 이름으로 위장할 수 있습니다. 이름역시 친숙한 이름을 사용하기 때문에 폴더에 이상한 이름의 폴더와 파일이 있으며, 사용한 기억이 없는데 각종 문서들이 해당 폴더에 지저분하게 다운로드 되어있다면 해킹을 강력하게 의심해야 합니다.

Libraries, intel과 같은 폴더와 파일을 발견한 경우, www.virustotal.com/gui/home/upload

VirusTotal

 

virusTotal에 upload해서 점검 해 보세요.

 

공용계정 기본 폴더 및 내용

 

그 다음으로 "사용자 id"에 해당하는 폴더 내부를 점검해보세요.

 

사용자 계정 폴더 및 내용 점검

 

ansel 폴더는 nvidia 관련해서 자동으로 생성되는 폴더입니다. 숨겨진 폴더가 있는지 잘 점검해보세요.

 

 

악성 프로그램의 위험성

 

msfconsole

 

영화에 보면, 해커가 화면에서 뭔가 코드를 작성해서 사용자를 공격하는데 실제로는 침투 시 자동화된 프레임워크를 많이 사용합니다.

예를 들어서 msfconsole이라는 프레임워크에서 payload로 검색을 해보면 굉장히 많은 자동화된 도구들이 나오는 것을 볼 수 있습니다. 간단하게 target, port, lisening ip, port 정도만 해커가 추가로 설정해 주면 공격 파일에 자동으로 반영되기 때문에 편리하면서(?) 상당히 위험합니다.

 

msfconsole payload

 

해킹 증상

 

Process explorer

 

컴퓨터 화면에 "명령 프롬프트"가 잠깐 나타났다가 사라지고 process에 "powershell"이 자동으로 실행되는 경우가 가장 흔한 해킹 증상입니다.

일반적으로 Powershell을 사용자가 사용하고 있지 않다면 해당 프로그램은 process에 떠 있을 이유가 전혀 없습니다.
ctrl + shift + esc(작업 관리자)를 눌러서 powershell.exe가 작동 중인지 확인해보세요.

process explorer라는 프로그램을 통해서 점검하는 것도 좋습니다.

 

Powershell 실행

 

또한 정상적인 svchost.exe 프로그램이 있는데, 일부 해킹 프로그램의 경우 scvhost.exe처럼 svchost.exe와 유사한 이름으로 위장하는 경우가 있습니다. 주의해서 프로그램 이름을 확인하시고 process explorer 프로그램을 사용하시면 "마우스 오른쪽 클릭" 하여 check Virustotal 메뉴를 선택해서 해당 process를 바로 점검할 수 있습니다.

 

Powershell 실행

 

해킹 연결 확인

 

명령 프롬프트(관리자 권한으로 실행)

 

사용자가 powershell을 실행시키지 않았는데, 프로세스에 powershell이 떠 있다면 "명령 프롬프트"를 관리자 권한으로 실행하셔서 net sessions를 입력합니다.

 

net sessions

 

위 화면과 같이 "목록에 항목이 없습니다."라고 나오면 외부의 접속이 없는 정상적인 상태입니다.
해킹된 경우라면 해커의 접속 IP가 나오게 됩니다.

 

net sessions /DELETE

 

net sessions /DELETE or net sessions /del
라고 입력해서 해당 연결을 중단시키고 악성 파일을 찾아서 제거하거나, 직접 파일을 찾기가 힘든 경우 컴퓨터를 포멧하고 운영체제를 재 설치합니다.

 

도메인 네트워크

 

윈도우 디펜더 - "방화벽 및 네트워크 보호"에서 "개인 네트워크" 사용자의 경우, "도메인 네트워크" 및 "공용 네크워크"에서 "들어오는 연결" 항목에서 "허용되는 앱 목록에 있는 연결을 포함하여 들어오는 연결을 모두 차단합니다"에 체크를 해두는 것도 괜찮습니다.

 

공용 네트워크

 

개인 네트워크 이용 중인 사용자의 "공용 네트워크 - 활성 공용 네트워크"에 "연결되지 않음이 정상인데, "연결"이라고 나온다면 뭔가 일반적인 상황이 아니니 꼭 확인하셔야 합니다.