공부 개요
Agent tesla 변종을 분석 하던 중 Zone.Identifier 옵션을 삭제하는 루틴을 발견하여 이 값을 왜 수정하는지 궁금하여 공부해봅니다.
Zone.Identifier 개념
Zone.Identifier는 Windows에서 특정 파일의 보안 영역(Zone) 정보를 저장하는 대체 데이터 스트림(Alternate Data Stream, ADS)으로 파일이 인터넷이나 네트워크를 통해 다운로드 되었는지, 또는 로컬에서 생성되었는지 등의 정보를 담고 있다.
Zone.Identifier 속성 값
| 값 | ZONE 이름 | 설명 |
| 0 | Local Machine | 로컬 컴퓨터에서 생성된 파일. |
| 1 | Intranet Zone | 내부 네트워크에서 다운로드된 파일. |
| 2 | Trusted Zone | 신뢰할 수 있는 사이트에서 다운로드된 파일. |
| 3 | Internet Zone | 인터넷에서 다운로드된 파일. |
| 4 | Restricted Zone | 제한된 사이트에서 다운로드된 파일. |
Zone.Identifier 옵션 삭제 이유
브라우저에서 다운로드된 파일은 Zone.Identifier 값이 3(Internet Zone)으로 설정된다. 이 값이 설정된 파일이 시작 프로그램에 등록될 경우, Windows는 기본적으로 경고를 표시하며 이를 우회하기 위해 악성코드는 Zone.Identifier 값을 삭제하여 경고창 없이 파일이 실행되도록 만든다.