보안 도구 사용 방법

[IceSword 활용편] 간단한 Tool을 이용한 악성 프로그램 대응


일반적으로 정상 프로그램이나 악성코드가 실행되면 모두 그 실행 프로그램에 대한 Process 정보나 레지스트리 값에 대한 확인이 이전 시간에 설명한 Process Explorer, Autoruns Tool 그리고 윈도우에서 제공하여 주는 작업 관리자, 레지스트리 편집기 등에 의해서 확인이 가능하다.

그러나 일부 악성코드의 경우는 이러한 Process 및 레지스트리 확인을 어렵게 하기위해 자신을 사용자들이 발견하지 못하도록 숨기는 기능등을 가지고 있으며, 이러한 기능중 대표적으로 루트킷을 예로들 수 있다.

이번시간에는 기본적인 Process 및 레지스트리 정보, 또한 루트킷과 같은 기능등에 대한 스캔이 가능한 유용한 Tool에 대해 알아보는 시간을 갖도록 하겠다.

◆ 나 몰래 활동중인 적을 확인하자!

IceSword

 - 안티 루트킷 프로그램이다. 접근이 어려운 파일에 대한 제어등이 가능하게 해주는 기능 또한 제공한다.
 - 다운로드 URL : http://pjf.blogcn.com/index.shtml


- 각 색션별 주요기능

  1) Process : 현재 실행 중인 프로세스 목록을 보여준다.(Hidden 포함)
  2) Port : 네트워크의 접근 현황을 보여준다.
  3) Kernel Module : 실행파일에 의해 로드된 sys파일이나 dll파일의 목록을 보여준다.
                             루트킷의 경우 자신을 은폐하기 위한 파일들이 이곳에 등록될 수 있다.
                             다만, 이곳에 존재하는 정상파일들을 강제로 종료하는 경우 BSOD가 발생할 수 있다.
  4) Startup : 윈도우 시작 시 함께 실행되는 목록들을 보여준다.
  5) Win32 Services : 서비스로 실행되는 프로세스 목록을 보여준다.
  6) SPI(Service Provider Interface) : 네트워크 드라이버에 로딩되는 부분을 보여준다.
  7) BHO(Browser Helper Object) : 브라우저나 시스템의 쉘 실행 시 로딩되는 DLL의 목록을 보여준다.
  8) SSDT(System Service Descriptor Table) : 시스템에 로드되어 있는 메모리를 참고 할 수 있다.(Hidden 포함)
  9) Message Hooks : 프로그램 동작시 입출력 장치의 반응을 보여준다.
  10) Log Process/Thread Creation : 프로세스가 실행한 목록을 보여준다.
  11) Log Process Termination : 프로세스/쓰레드의 종료 시점을 보여준다.
  12) Scan Module Hooks : 모듈을 검사하며, 특정 프로세스나 파일의 모니터링에 사용된다.
                                       사용시 PC에 많은 부하가 발생.
  13) Registry : 레지스트리 편집기를 실행하며, regedit.exe 로 접근이 불가능한 정보까지 접근이 가능하다.
  14) File : 숨김 폴더/파일을 모두 볼 수 있는 파일 탐색기를 실행하며, 접근불가 경로도 접근 가능.
  15) Reboot and Monitor : 실행하면 재부팅이 이루어지며 부팅시 실행에 관한 모든 로그를 남긴다.
  16) RegFile : IceSword 의 일부 기능을 명령줄로 바꿔 실행이 가능하다. cmd창이 열리며 이때는 사용중인 파일도 삭제가
                    가능하다.

IceSword는 이전 시간에 설명한것과 같이 Process Explorer, Autoruns 각각의 Tool에서 제공하는 파일 및 레지스트리 값 제어를 한번에 진행할 수 있다. 또한 상기 두가지 Tool에서 제공되지 않는 루트킷 스캔등의 고급 제어기능을 추가적으로 제공하여 준다.


위 그림과 같이 고급 제어 기능중 유용하게 사용될 수 있는 BHO(Browser Helper Object) 스캔 기능이 있으며, 사용자가 사용하지 않는 BHO 값등의 제어를 원하는 경우 해당 레지스트리 값에 마우스 우 클릭으로 삭제 및 새로고침 기능을 수행 할 수 있다.

※ BHO 란 근본적으로는 브라우저에서 지원하지 못하는 기능등을 지원하기 위해 플러그인 형태로 Internet Explorer(이하 IE)에 추가되는 DLL모듈등을 말하며, 이러한 BHO로 인해 IE에서는 다른 브라우저에서 접근하지 못하는 영역에 대한 접근 및 추가적인 기능수행등이 가능하다.


또한, IceSword는 안티 루트킷 프로그램으로 위 그림과 같이 SSDT(System Servoce Descriptor Table)후킹에 대한 스캔 및 제어 기능을 제공한다.

만일 특정 파일이나 Process에 대한 제어가 불가능 하거나 지속적으로 원하지 않는 불필요한 기능들의 Refresh등이 유지된다면 SSDT 메뉴로 이동하여 위 그림과 같이 정보를 확인 후 빨간색으로 표시되는 값을 찾아 마우스 우클릭 후 모두 Restore메뉴를 통해 복구해주면 된다.

※ SSDT 후킹이란 윈도우에서 제공하는 API가 커널모드에서 서비스를 받기 위해 필요한 내용(삭제, 생성, 복사등의 기능)을 조작하는 커널모드 후킹 방법을 말한다. 즉, 특정파일이나 Process에 대해 삭제, 생성, 복사등의 제어기능이 정상동작하지 못하도록 막는것을 SSDT 후킹이라 한다.

또한, IceSword는 윈도우상에서 접근이나 제어가 불가능한 폴더나 파일에 대한 제어가 가능하다. 즉, 악성코드에 의해 레지스트리값이 변경되어 사용자에게 보이지 않거나 폴더에 대한 이동이 불가능한 경우 IceSword에서 제공하는 윈도우 탐색기를 통해 파일, 폴더에 상관없이 모두 마우스 우 클릭을 통해 삭제 및 복사가 가능하다. (단, 복사의 경우는 파일에만 해당된다.)

만일 백신에 의해 진단되지 않으면서 위와 같이 IceSword를 통해 숨김속성이나 윈도우상에서 정상접근이 불가능한 파일에 대해 확인이 된다면 IceSword에서 제공하는 파일에 대한 복사기능을 이용하여 파일을 채취한 후 백신 업체등에 신고하는 편이 보다 안전할 수 있다. 그렇게된다면 추후에는 이러한 유사한 악성기능을 갖는 루트킷 악성코드에 대해 안전한 치료기능을 백신으로 부터 제공받을 수 있을것이다.

이번 시간에는 일반적인 확인이 어려운 루트킷등의 기능에 대한 대처 방법에 대해 알아보았다. 보통 Process나 레지스트리 값에 의심되거나 사용자가 모르는 정보가 확인되지 않는 상황에서 지속적인 의심상황(네트워크 속도의 하향 및 트래픽 발생, 특정 프로그램의 동작 오류등)이 발생할 경우 루트킷 감염에 대한 의심을 해 볼 수 있으며, 이러한 경우 상기의 Tool을 이용하여 일정 정보에 대한 확인이 가능하다.

다음 시간에는 인터넷 사용등에 영향을 주는 네트워크가 심하게 느려지는 경우 일반 사용자들이 편리하게 네트워크 현황을 확인 할 수 있는 Tool에 대해 알아보도록 하겠다.


<※ 도구 활용편 추가 보기>

[Process Explorer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #1 : http://erteam.nprotect.com/11
[Autoruns 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #2 : http://erteam.nprotect.com/12
[TCPView 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #4 : http://erteam.nprotect.com/14
[Gmer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #5 : http://erteam.nprotect.com/15

댓글

댓글쓰기

보안 도구 사용 방법 관련된 글

관련글 더보기