보안 도구 사용 방법

[Gmer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응

앞서 설명한 행동기반 분석 Tool을 제외한 Process Explorer와 Autoruns Tool등은 등록되거나 실행중인 정보는 확인이 가능하나 IceSword등을 통해 확인이 가능한 일부 숨김 기능등의 루트킷 관련 정보들은 확인 할 수 없었다.

물론 IceSword Tool로 루트킷등의 기능에 대한 고급 제어 기능을 활용 할 수 있으나, 더이상의 상위 패치버전이 배포되지 않는 단점이 있어 지속적인 패치버전이 배포되고 있는 보다 강력한 안티 루트킷 프로그램에 대해 알아보도록 하겠다.

◆ 보다 강력하게 나몰래 활동중인 적을 확인하자!

Gmer

 - IceSword와 같은 안티 루트킷 프로그램.
 - IceSword보다 더 높은 제어기능을 제공한다.
 - 다운로드 URL : http://www.gmer.net/


- Gmer는 다음과 같은 루트킷에 대한 스캔이 가능하다.

  1) 숨겨진 프로세스
  2) 숨겨진 서비스
  3) 숨겨진 파일들
  4) 숨겨진 레지스트리 키
  5) 숨겨진 드라이버
  6) 숨겨진 쓰레드
  7) 숨겨진 모듈
  8) SSDT를 Hooking하는 드라이버
  9) IDT를 Hooking하는 드라이버
  10) IRP Calls를 Hooking하는 드라이버

- Gmer는 다음과 같은 시스템 기능들에 대한 모니터링이 가능하다.

  1) 프로세스 생성
  2) 드라이버 로딩
  3) 라이브러리 로딩
  4) 파일기능
  5) 레지스트리 엔트리
  6) TCP/IP

Gmer는 IceSword와 같은 기능을 제공하여주며, IceSword와는 다르게 지속적인 패치버전이 제공되어 범용적으로 사용하기에 IceSword보다 편리하다. 또한 IceSword보다 더 높은 파일제어기능을 제공한다.


IceSword와 마찬가지로 Process Explorer와 Autoruns등으로 악성코드 감염 의심파일에 대한 확인 및 제어가 어려운 경우 사용되는 Tool이며, SSDT 후킹을 비롯한 다양한 루트킷 악성코드에 대하여 위의 그림과 같이 확인하기 간편한 UI로 정보가 제공된다.
Gmer는 최초 구동시 단독모듈로 드라이버를 등록 후 동작이 이루어지며, 설정된 루트 드라이버에 대한 스캔작업을 시작한다. 위의 화면과 같이 루트킷 서비스 및 드라이버와 같이 유해기능의 항목이 발견되면 빨간색으로 인덱스 처리가 이루어져 표시되며, 마우스 우 클릭으로 Disable service등의 기능을 수행할 수 있다.

확인되지 않거나 사용자 본인이 모르는 항목의 루트킷 기능의 서비스 등이 실행되고 있다면 Disable service기능을 통해 서비스 중단을 진행하도록 하자.


Disable service 기능등을 수행하며 확인한 서비스명으로 레지스트리의 Services 하위에 해당 서비스명으로 키값이 등록되어 있는것을 확인 할 수 있다. 다만, 레지스트리 등록 값에 대한 확인 및 수정은 가능하나 삭제는 불가능하다. 

Services탭은 루트킷등과 같은 서비스 이외에도 PC에 적용되어 있는 모든 서비스들에 대한 상태 및 출처와 같은 정보 확인이 가능하며, 삭제 또한 진행 할 수 있다.

추가적인 정보들을 모두 얻었다면 재부팅을 진행하고 재부팅후에는 서비스로 등록되었던 키값 및 실제 파일에 대한 확인 및 제어가 가능하다. 해당 루트킷에 대한 백신의 진단이 불가능 하거나 파일에 대한 일반적인 채취가 불가능할 시 Gmer에서 제공하는 복사기능을 이용하여 채취 후 백신 업체등에 신고하여 추후에는 백신상에서 안전하고 편리하게 치료기능을 제공 받을 수 있도록 한다.

Gmer는 강력한 안티 루트킷 서비스를 제공하는 대신 제어에 많은 주의를 요구한다. 접근이 어려운 파일등에 대한 제어가 가능하기 때문에 정상파일에 대한 삭제가 진행될 수 있기 때문이다. 위에서 설명한 Disable service가 아닌 상단의 Delete service기능을 수행 할 경우 서비스값 뿐만 아니라 해당 파일에 대한 삭제까지 가능하니 네트워크 패킷 발생등의 목적으로 정상 svchost.exe를 통해 루트킷 서비스로 등록(svchost명으로 서비스 등록)되는 경우 정상파일이 삭제되지 않도록 주의해야 한다.


<※ 도구 활용편 추가 보기>

[Process Explorer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #1 : http://erteam.nprotect.com/11
[Autoruns 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #2 : http://erteam.nprotect.com/12
[TCPView 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #4 : http://erteam.nprotect.com/14

댓글

댓글쓰기

보안 도구 사용 방법 관련된 글

관련글 더보기