악성코드 접근을 숨겨주는 포트 루트킷 




1. 개요 


루트킷(Rootkit)의 의미는 본래 Unix 계열의 관리자 계정인 루트(Root) 권한을 획득하기 위한 코드와 프로그램의 집합으로 사용되었다. 하지만 최근에 루트킷이 단순히 특정 악성코드가 시스템에서 탐지되지 않도록 악용되면서 이제 개인 PC에서 루트킷의 역할은 악성코드 은닉이 주가 되었다. 본 보고서에서는 악성코드가 통신하는 포트 또는 통신 대상의 IP를 기준으로 연결 정보를 숨겨주는 루트킷을 분석하여 포트 루트킷이 동작 방식을 알아보고자 한다.





2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

SynDrives.sys

파일크기

3,840 byte

진단명

Trojan/W32.KRDDoS.3840

악성동작

포트 루트킷

 




2-2. 유포 경로

SynDrives.sys는 이전에 분석된 악성코드 Trojan/W32.jorik.90624.Z 가 드롭하는 부속 모듈이었다. 주로 앞의 상황과 같이 다른 악성코드의 라이프 사이클 연장을 위한 보조적인 목적으로 악성코드와 함께 유포된다.




2-3. 실행 과정

SynDrives.sys가 숙주 파일에 의해 시스템에 설치되면, SSDT 후킹(Hooking)을 통하여 포트를 은닉할 준비를 해놓고 은닉할 대상의 IP 또는 포트 정보 와 명령을 기다린다. 이후 netstat.exe 등의 프로그램에서 네트워크 연결 정보 조회를 시도하면, 네트워크 연결 정보 테이블에서 악성코드가 지정한 IP 또는 포트에 해당되는 정보를 제외한 나머지 정보를 반환하여 악성코드가 지정한 특정 IP 또는 포트에 대한 정보 은닉을 수행한다.





3. 악성 동작


3-1. SSDT 후킹(Hooking)

SynDrives.sys는 [그림 1]과 같이 네트워크 정보 은닉을 위한 자신의 함수(SynDrives+0x70D)를 ZwDeviceIoControlFile 함수가 호출하는 SSDT의 인덱스(NtDeviceIoControlFile)의 주소에 입력하여 이후 ZwDeviceIoControlFile 호출 시 SynDrives+0x70D가 호출 되도록 한다.


[그림 1] ZwDeviceIoControlFile 후킹[그림 1] ZwDeviceIoControlFile 후킹




3-2. 네트워크 정보 은닉

SynDrives.sys 의 드라이버 객체에 등록된 함수는 숙주 파일로부터 IRP(I/O Request Packet)를 받는다. [그림 2]의 우측에 나타낸 것은 숙주 파일로부터 받은 IRP로 IoControlCode 가 0x222004 인 것을 확인할 수 있다. SynDrives.sys 는 이 값을 기준으로 은닉하고자 하는 데이터가 IP인지 Port인지 결정한다.

[그림 2] IRP 버퍼 데이터[그림 2] IRP 버퍼 데이터



위에서 은닉하고자 하는 데이터의 타입(IP or Port)을 확인한 뒤, IRP 구조체의 SystemBuffer에 있는 값을 확인한다. 이 값은 은닉하고자 하는 데이터(0xdec8c8c8)의 값을 나타낸다.


[그림 3] 은닉시킬 데이터 값 확인 (IRP->AssociatedIrp.SystemBuffer)[그림 3] 은닉시킬 데이터 값 확인 (IRP->AssociatedIrp.SystemBuffer)



SynDrives.sys는 IP 및 Port 정보가 있는 구조체 체인에서 은닉하고자 하는 데이터(0xdec8c8c8)를 찾는다. 그리고 해당 데이터가 속한 구조체(그림 4의 표시된 부분)를 덮어씌운다. 이를 통해 결과적으로 은닉시키고자 하는 정보가 조회되지 않도록 한다.


[그림 4] 조회 된 내용이 있는 버퍼 조작[그림 4] 조회 된 내용이 있는 버퍼 조작





4. 결론


앞서 말한 포트 루트킷은 윈도우 XP의 netstat.exe의 네트워크 상태 조회 방식에 맞춰 제작된 것으로 보이며 윈도우 XP 이후의 OS에서는 공격자의 의도대로 동작하지 않는다. 하지만 다른 OS에서도 정확히 동작을 수행하는 포트 루트킷이 존재하기 때문에 수상한 포트가 열려있지 않더라도 백도어(Backdoor) 및 봇(Bot)으로부터 안전한 상태는 아닐 수 있다. 그러므로 수시로 OS와 응용 프로그램들을 최신 버전으로 업데이트하고 출처가 불분명한 파일을 받지 않는 등 미리 악성코드 감염을 예방할 필요가 있다.


해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.


[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 5] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면



[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면[그림 6] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면




저작자 표시 비영리 변경 금지
신고
Posted by nProtect
1. 개 요


최근 BIOS와 MBR 변조를 시도하는 악성파일이 등장하여 사용자들의 각별한 주의가 요망된다. BIOS, MBR이 변조될 경우 지속적인 재감염 증상을 유발할 수 있으나, 해당 악성파일은 현재까지 특별한 감염 증상이 없고 몇가지 정황으로 미루어 보아 테스트 용도로 제작되었음이 추정되고 있다. 그러나 BIOS와 MBR이 변조되면 백신을 통한 정상적인 치료에 어려움이 있을 수 있다. 때문에 이번 글을 통해 BIOS와 MBR이 변조될 경우 수행할 수 있는 간단한 수동조치 방법에 대해 알아보고 피해를 미연에 최소화 할 수 있도록 하자.

BIOS(Basic Input Output System)

- 컴퓨터의 가장 기본적인 기능을 처리해 주는 프로그램들의 집합을 의미하며, 운영체제의 가장 하위에 속해 있다. BIOS는 입출력장치나 주변장치의 구동을 위한 루틴들의 집합체라고 할 수 있으며, 모든 소프트웨어는 BIOS의 계층을 기반으로 동작하게 된다.

MBR(Master Boot Record)

- 시스템 구동에 관련된 영역이며, 컴퓨터 구동 시 가장 먼저 하드 디스크의 MBR에 기록되어 있는 프로그램이 읽혀진다. 따라서 해당 영역이 손상되면 컴퓨터 구동이 어려울 수 있다.
  

2. 유포 및 감염 증상

해당 악성파일은 아래와 같은 URL을 통해 최초 유포되었던 것으로 알려졌으나, 현재는 해당 사이트가 차단되어있다.

[유포 추정 URL]

http://dh.(생략).info:806/test/(생략)/calc.exe

자세히 살펴보면 "test"가 URL에 존재하고 있으며, 이는 해당 악성파일이 테스트 용도로 제작 되었음을 추정하는 한 단서가 될 수 있다. 

해당 악성파일은 이번에 확인된 유포지 외에도 이메일의 첨부파일 형태나 메신저, SNS 등의 링크 접속을 통해 다운로드 될 수 있으며, 취약점이 존재하는 웹 사이트에 삽입되어 유포되는 등 다양한 방법으로 추가적인 유포가 이루어질 수 있다. 

이번에 발견된 해당 악성파일은 감염된 PC의 BIOS를 확인하여 Award BIOS일 경우에만 BIOS, MBR 모두 변조를 시도한다. 해당 악성파일에 의한 생성파일 및 BIOS/MBR 변조 등 감염 정보는 아래의 설명 및 그림을 참고할 수 있도록 하자.
  

◆ 생성파일

▶ 생성 순서

ㄱ. C:\bios.sys
   
☞ Award BIOS 여부 확인
ㄴ. C:\bios.sys1, C:\bios.sys2
   
☞ beep.sys 파일을 대체하여 서비스 로드 후 삭제된다.
ㄷ. C:\my.sys
   
☞ IRP_MJ_READ, IRP_MJ_WRITE, IRP_MJ_DEVICE_CONTROL 등 Hooking
     ☞ 루트킷 동작 코드 포함
     ☞ 변조된 MBR 보호 기능
ㄹ. (사용자 임시 폴더)\bios.bin
   
☞ 감염 시 정상 BIOS에 대한 정보 저장
ㅁ. (사용자 임시 폴더)\cbrom.exe(정상파일)
   
☞ BIOS가 감염되지 않았을 경우 악성 rom 파일을 ISA ROM에 추가
ㅂ. (사용자 임시 폴더)\hook.rom
   
☞ ISA ROM에 삽입되어 BIOS 동작 시 악성 동작이 가능할 수 있다.

※ (사용자 임시 폴더)는 일반적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp"을 말한다.

※ ISA(Industry Standard Architecture)는 현재는 PCI 등으로 대체되어 많이 사용되지 않는 방식의 아키텍쳐이다.해당 악성파일은 BIOS에 ISA ROM 영역 설정 등으로 악용이 가능한 점을 이용한 것으로 추정되고 있다.
     ☞ http://en.wikipedia.org/wiki/Industry_Standard_Architecture

◆ 동작 설명

▶ bios.sys 생성 / Award BIOS 여부 확인 / 분기점 존재(Award BIOS가 아닐 시)

우선 감염 시 bios.sys파일이 가장 먼저 생성되며, bios.sys 파일 생성 직후 아래의 감염 동작이 진행된다.

[bios.sys1 / bios.sys2 파일 생성]

 - bios.sys1
 - bios.sys2
 - 해당 파일들은 beep.sys 파일을 대체하여 서비스에 로드된 후 바로 삭제되며, 이 과정에서 beep.sys 파일은 다시 복구 된다.

그 후 bios.sys 파일은 감염된 PC의 BIOS가 Award BIOS인지 확인하는 작업을 진행한다. (여기서 분기점이 생기는데 만약 Award BIOS가 아닐 경우 BIOS 감염 루틴을 생략하고 동일한 감염증상을 보이는 것으로 알려졌다.)감염된 PC에서 Award BIOS가 확인될 경우 bios.sys는 아래의 그림과 같이 SMI_PORT를 찾고, BIOS 사이즈를 정하게 된다.


▶ bios.bin / my.sys 생성 과정

bios.sys는 또한, my.sys 파일을 드롭하며, 현 상태의 BIOS 정보를 저장(bios.bin)하고 저장된 BIOS 정보에 "hook.rom"의 존재 여부를 체크하여 존재하지 않을 경우 bios.bin에 hook.rom을 추가 시도를 한다.

▶ cbrom.exe / hook.rom 생성 / BIOS 감염 과정

이 과정에서 cbrom.exe 툴이 생성되며, 해당 툴은 /isa 파라메터를 이용하여 아래의 그림과 같이 ISA ROM에 hook.rom을 삽입하게 된다.


위 감염 과정까지 완료되면 BIOS에 대한 감염 작업은 마무리 된다.

▶ MBR 변조 과정

BIOS에 대한 감염 과정이 진행되면서 숙주 파일에 의해 MBR이 변조되는 감염 증상을 유발한다. 이때 백업을 위해 특정 영역에 정상 MBR 값을 저장하게 된다.

아래의 그림은 정상 MBR 값이 sector 7에 저장 되기전 정상 MBR 값을 추출하는 과정이다.


위 과정이 완료되면 아래의 그림과 같이 정상 MBR 값을 변조하는 과정을 거치게 된다.


아래의 그림과 같이 정상/악성 MBR 값에 대한 확인이 가능하다.

                                                                             [정상 MBR]

                                                             [변조된 MBR]


▶ my.sys 감염 증상

추가적으로 생성된 my.sys 파일은 IRP_MJ_READ, IRP_MJ_WRITE, IRP_MJ_DEVICE_CONTROL에 대한 Hooking 등의 기능을 수행하는 것으로 알려졌으며, 변조된 MBR에 대한 수정을 방지하는 기능 구현이 내부에 존재한다. 

Device_Object 구조체에서 Driver_Object의 위치를 선정하고 루트킷 기능의 선 실행을 통해 Call 결과를 조작하는 등 Stealth Function 코드가 내부에 존재하지만 현재 감염 증상으로 미루어보아 일반적인 루트킷 기능은 동작하지 않는 것으로 확인되고 있다.

  

위와 같이 해당 악성파일에 의한 감염 동작이 모두 완료되었을 경우 재부팅 시 아래의 그림과 같이 특정 문구("Find it OK")가 출력되는 화면을 볼 수 있다.


위 그림과 같이 재부팅 시 특정 문구("Find it OK")가 화면에 출력되기 위해 MBR이 변조되는 과정에서 아래의 그림과 같이 해당 특정 문구가 변조된 MBR에 포함되어 있다.


3. BIOS, MBR 수동 복구 방법

위와 같은 악성파일에 감염되어 BIOS와 MBR이 변조되면 일반 백신으로 완벽한 치료가 어려울 수 있다. 이러할 경우 아래와 같은 수동 조치 방법을 통해 정상값으로 복원할 수 있으니 참고할 수 있도록 하자.

  

◆ BIOS 수동 복구 방법

BIOS가 변조되었을 경우 감염된 PC의 메인보드 제작사에서 배포하는 BIOS 업데이트 모듈을 통해 복원하는 것이 가장 간단한 방법이다.

아래의 그림은 GIGABYTE 사에서 제공하는 BIOS 업데이트 모듈을 예로 든 방법이니 참고하여 각 PC에 해당하는 메인보드 업체에서 제공중인 업데이트 모듈을 다운로드 받아 복원할 수 있도록 하자.


◆ MBR 복원 방법

MBR이 변조되었을 경우 가지고 있는 "윈도우 설치 CD"를 통해 쉽게 복구가 가능하다. 아래의 그림을 참고하여 변조된 MBR을 복구할 수 있도록 하자.

"윈도우 설치 CD"를 통해 부팅 후 아래의 그림과 같이 키보드에서 "R" 키를 입력하여 복구 콘솔을 실행한다.


② 아래의 그림과 같이 "로그온할 Windows 설치를 선택하십시오." 메시지가 출력되면 키보드에서 숫자 "1"키를 누른 후 계정 암호 입력창이 출력되면 암호 입력 후 Enter키를 누른다. 그 후 "C:\WINDOWS>_" 와 같이 프롬프트가 활성화 되면 "fixmbr" 명령어를 입력 후 Enter키를 누른다. 아래의 그림과 같은 "주의" 메시지가 출력된 후 MBR 생성 여부를 묻는 메시지가 출력되면 키보드에서 "Y"키를 입력한다.

  

위의 방법을 통해 BIOS, MBR 감염에 대한 수동 복구 조치를 모두 진행하면 아래의 그림과 같이 PC 재부팅 시 특정 문구("Find it OK")가 더이상 출력되지 않는 등 수동 복구 조치 완료에 대한 확인이 가능하다.


4. 예방 조치 방법

BIOS, MBR이 변조되는 경우 위에서 설명했듯이 백신에 의한 완벽한 치료가 어렵다. 또한, 위와 같은 수동 복구 조치도 매우 번거로워 일반 사용자의 경우 복구에 어려움을 느낄 수 있다. 결국 이러한 악성파일로부터 안전한 PC사용을 위해서는 잉카인터넷에서 배포하는 MBR Guard 등 MBR 영역을 보호할 수 있는 사전 방역 프로그램 사용과 동시에 아래와 같은 "보안 관리 수칙"을 준수하는 것이 무엇보다 중요하다고 할 수 있다.

  

[MBR Guard V3]

http://avs.nprotect.net/FreeAV/NPMBRGuardSetup.exe
  

※ 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.

3. 메신저, SNS 등을 통한 링크 접속을 주의한다.

4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.

5. 정보에 대한 출처가 불분명한 SNS 혹은 메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 현황

 - Trojan/W32.Agent.130048.IS
 - Trojan/W32.Small.5632.DS
 - Trojan.Generic.KDV.354955

 






저작자 표시
신고
Posted by nProtect
앞서 설명한 행동기반 분석 Tool을 제외한 Process Explorer와 Autoruns Tool등은 등록되거나 실행중인 정보는 확인이 가능하나 IceSword등을 통해 확인이 가능한 일부 숨김 기능등의 루트킷 관련 정보들은 확인 할 수 없었다.

물론 IceSword Tool로 루트킷등의 기능에 대한 고급 제어 기능을 활용 할 수 있으나, 더이상의 상위 패치버전이 배포되지 않는 단점이 있어 지속적인 패치버전이 배포되고 있는 보다 강력한 안티 루트킷 프로그램에 대해 알아보도록 하겠다.

◆ 보다 강력하게 나몰래 활동중인 적을 확인하자!

Gmer

 - IceSword와 같은 안티 루트킷 프로그램.
 - IceSword보다 더 높은 제어기능을 제공한다.
 - 다운로드 URL : http://www.gmer.net/


- Gmer는 다음과 같은 루트킷에 대한 스캔이 가능하다.

  1) 숨겨진 프로세스
  2) 숨겨진 서비스
  3) 숨겨진 파일들
  4) 숨겨진 레지스트리 키
  5) 숨겨진 드라이버
  6) 숨겨진 쓰레드
  7) 숨겨진 모듈
  8) SSDT를 Hooking하는 드라이버
  9) IDT를 Hooking하는 드라이버
  10) IRP Calls를 Hooking하는 드라이버

- Gmer는 다음과 같은 시스템 기능들에 대한 모니터링이 가능하다.

  1) 프로세스 생성
  2) 드라이버 로딩
  3) 라이브러리 로딩
  4) 파일기능
  5) 레지스트리 엔트리
  6) TCP/IP

Gmer는 IceSword와 같은 기능을 제공하여주며, IceSword와는 다르게 지속적인 패치버전이 제공되어 범용적으로 사용하기에 IceSword보다 편리하다. 또한 IceSword보다 더 높은 파일제어기능을 제공한다.


IceSword와 마찬가지로 Process Explorer와 Autoruns등으로 악성코드 감염 의심파일에 대한 확인 및 제어가 어려운 경우 사용되는 Tool이며, SSDT 후킹을 비롯한 다양한 루트킷 악성코드에 대하여 위의 그림과 같이 확인하기 간편한 UI로 정보가 제공된다.
Gmer는 최초 구동시 단독모듈로 드라이버를 등록 후 동작이 이루어지며, 설정된 루트 드라이버에 대한 스캔작업을 시작한다. 위의 화면과 같이 루트킷 서비스 및 드라이버와 같이 유해기능의 항목이 발견되면 빨간색으로 인덱스 처리가 이루어져 표시되며, 마우스 우 클릭으로 Disable service등의 기능을 수행할 수 있다.

확인되지 않거나 사용자 본인이 모르는 항목의 루트킷 기능의 서비스 등이 실행되고 있다면 Disable service기능을 통해 서비스 중단을 진행하도록 하자.


Disable service 기능등을 수행하며 확인한 서비스명으로 레지스트리의 Services 하위에 해당 서비스명으로 키값이 등록되어 있는것을 확인 할 수 있다. 다만, 레지스트리 등록 값에 대한 확인 및 수정은 가능하나 삭제는 불가능하다. 

Services탭은 루트킷등과 같은 서비스 이외에도 PC에 적용되어 있는 모든 서비스들에 대한 상태 및 출처와 같은 정보 확인이 가능하며, 삭제 또한 진행 할 수 있다.

추가적인 정보들을 모두 얻었다면 재부팅을 진행하고 재부팅후에는 서비스로 등록되었던 키값 및 실제 파일에 대한 확인 및 제어가 가능하다. 해당 루트킷에 대한 백신의 진단이 불가능 하거나 파일에 대한 일반적인 채취가 불가능할 시 Gmer에서 제공하는 복사기능을 이용하여 채취 후 백신 업체등에 신고하여 추후에는 백신상에서 안전하고 편리하게 치료기능을 제공 받을 수 있도록 한다.

Gmer는 강력한 안티 루트킷 서비스를 제공하는 대신 제어에 많은 주의를 요구한다. 접근이 어려운 파일등에 대한 제어가 가능하기 때문에 정상파일에 대한 삭제가 진행될 수 있기 때문이다. 위에서 설명한 Disable service가 아닌 상단의 Delete service기능을 수행 할 경우 서비스값 뿐만 아니라 해당 파일에 대한 삭제까지 가능하니 네트워크 패킷 발생등의 목적으로 정상 svchost.exe를 통해 루트킷 서비스로 등록(svchost명으로 서비스 등록)되는 경우 정상파일이 삭제되지 않도록 주의해야 한다.


<※ 도구 활용편 추가 보기>

[Process Explorer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #1 : http://erteam.nprotect.com/11
[Autoruns 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #2 : http://erteam.nprotect.com/12
[TCPView 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #4 : http://erteam.nprotect.com/14

저작자 표시
신고
Posted by nProtect

일반적으로 정상 프로그램이나 악성코드가 실행되면 모두 그 실행 프로그램에 대한 Process 정보나 레지스트리 값에 대한 확인이 이전 시간에 설명한 Process Explorer, Autoruns Tool 그리고 윈도우에서 제공하여 주는 작업 관리자, 레지스트리 편집기 등에 의해서 확인이 가능하다.

그러나 일부 악성코드의 경우는 이러한 Process 및 레지스트리 확인을 어렵게 하기위해 자신을 사용자들이 발견하지 못하도록 숨기는 기능등을 가지고 있으며, 이러한 기능중 대표적으로 루트킷을 예로들 수 있다.

이번시간에는 기본적인 Process 및 레지스트리 정보, 또한 루트킷과 같은 기능등에 대한 스캔이 가능한 유용한 Tool에 대해 알아보는 시간을 갖도록 하겠다.

◆ 나 몰래 활동중인 적을 확인하자!

IceSword

 - 안티 루트킷 프로그램이다. 접근이 어려운 파일에 대한 제어등이 가능하게 해주는 기능 또한 제공한다.
 - 다운로드 URL : http://pjf.blogcn.com/index.shtml


- 각 색션별 주요기능

  1) Process : 현재 실행 중인 프로세스 목록을 보여준다.(Hidden 포함)
  2) Port : 네트워크의 접근 현황을 보여준다.
  3) Kernel Module : 실행파일에 의해 로드된 sys파일이나 dll파일의 목록을 보여준다.
                             루트킷의 경우 자신을 은폐하기 위한 파일들이 이곳에 등록될 수 있다.
                             다만, 이곳에 존재하는 정상파일들을 강제로 종료하는 경우 BSOD가 발생할 수 있다.
  4) Startup : 윈도우 시작 시 함께 실행되는 목록들을 보여준다.
  5) Win32 Services : 서비스로 실행되는 프로세스 목록을 보여준다.
  6) SPI(Service Provider Interface) : 네트워크 드라이버에 로딩되는 부분을 보여준다.
  7) BHO(Browser Helper Object) : 브라우저나 시스템의 쉘 실행 시 로딩되는 DLL의 목록을 보여준다.
  8) SSDT(System Service Descriptor Table) : 시스템에 로드되어 있는 메모리를 참고 할 수 있다.(Hidden 포함)
  9) Message Hooks : 프로그램 동작시 입출력 장치의 반응을 보여준다.
  10) Log Process/Thread Creation : 프로세스가 실행한 목록을 보여준다.
  11) Log Process Termination : 프로세스/쓰레드의 종료 시점을 보여준다.
  12) Scan Module Hooks : 모듈을 검사하며, 특정 프로세스나 파일의 모니터링에 사용된다.
                                       사용시 PC에 많은 부하가 발생.
  13) Registry : 레지스트리 편집기를 실행하며, regedit.exe 로 접근이 불가능한 정보까지 접근이 가능하다.
  14) File : 숨김 폴더/파일을 모두 볼 수 있는 파일 탐색기를 실행하며, 접근불가 경로도 접근 가능.
  15) Reboot and Monitor : 실행하면 재부팅이 이루어지며 부팅시 실행에 관한 모든 로그를 남긴다.
  16) RegFile : IceSword 의 일부 기능을 명령줄로 바꿔 실행이 가능하다. cmd창이 열리며 이때는 사용중인 파일도 삭제가
                    가능하다.

IceSword는 이전 시간에 설명한것과 같이 Process Explorer, Autoruns 각각의 Tool에서 제공하는 파일 및 레지스트리 값 제어를 한번에 진행할 수 있다. 또한 상기 두가지 Tool에서 제공되지 않는 루트킷 스캔등의 고급 제어기능을 추가적으로 제공하여 준다.


위 그림과 같이 고급 제어 기능중 유용하게 사용될 수 있는 BHO(Browser Helper Object) 스캔 기능이 있으며, 사용자가 사용하지 않는 BHO 값등의 제어를 원하는 경우 해당 레지스트리 값에 마우스 우 클릭으로 삭제 및 새로고침 기능을 수행 할 수 있다.

※ BHO 란 근본적으로는 브라우저에서 지원하지 못하는 기능등을 지원하기 위해 플러그인 형태로 Internet Explorer(이하 IE)에 추가되는 DLL모듈등을 말하며, 이러한 BHO로 인해 IE에서는 다른 브라우저에서 접근하지 못하는 영역에 대한 접근 및 추가적인 기능수행등이 가능하다.


또한, IceSword는 안티 루트킷 프로그램으로 위 그림과 같이 SSDT(System Servoce Descriptor Table)후킹에 대한 스캔 및 제어 기능을 제공한다.

만일 특정 파일이나 Process에 대한 제어가 불가능 하거나 지속적으로 원하지 않는 불필요한 기능들의 Refresh등이 유지된다면 SSDT 메뉴로 이동하여 위 그림과 같이 정보를 확인 후 빨간색으로 표시되는 값을 찾아 마우스 우클릭 후 모두 Restore메뉴를 통해 복구해주면 된다.

※ SSDT 후킹이란 윈도우에서 제공하는 API가 커널모드에서 서비스를 받기 위해 필요한 내용(삭제, 생성, 복사등의 기능)을 조작하는 커널모드 후킹 방법을 말한다. 즉, 특정파일이나 Process에 대해 삭제, 생성, 복사등의 제어기능이 정상동작하지 못하도록 막는것을 SSDT 후킹이라 한다.

또한, IceSword는 윈도우상에서 접근이나 제어가 불가능한 폴더나 파일에 대한 제어가 가능하다. 즉, 악성코드에 의해 레지스트리값이 변경되어 사용자에게 보이지 않거나 폴더에 대한 이동이 불가능한 경우 IceSword에서 제공하는 윈도우 탐색기를 통해 파일, 폴더에 상관없이 모두 마우스 우 클릭을 통해 삭제 및 복사가 가능하다. (단, 복사의 경우는 파일에만 해당된다.)

만일 백신에 의해 진단되지 않으면서 위와 같이 IceSword를 통해 숨김속성이나 윈도우상에서 정상접근이 불가능한 파일에 대해 확인이 된다면 IceSword에서 제공하는 파일에 대한 복사기능을 이용하여 파일을 채취한 후 백신 업체등에 신고하는 편이 보다 안전할 수 있다. 그렇게된다면 추후에는 이러한 유사한 악성기능을 갖는 루트킷 악성코드에 대해 안전한 치료기능을 백신으로 부터 제공받을 수 있을것이다.

이번 시간에는 일반적인 확인이 어려운 루트킷등의 기능에 대한 대처 방법에 대해 알아보았다. 보통 Process나 레지스트리 값에 의심되거나 사용자가 모르는 정보가 확인되지 않는 상황에서 지속적인 의심상황(네트워크 속도의 하향 및 트래픽 발생, 특정 프로그램의 동작 오류등)이 발생할 경우 루트킷 감염에 대한 의심을 해 볼 수 있으며, 이러한 경우 상기의 Tool을 이용하여 일정 정보에 대한 확인이 가능하다.

다음 시간에는 인터넷 사용등에 영향을 주는 네트워크가 심하게 느려지는 경우 일반 사용자들이 편리하게 네트워크 현황을 확인 할 수 있는 Tool에 대해 알아보도록 하겠다.


<※ 도구 활용편 추가 보기>

[Process Explorer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #1 : http://erteam.nprotect.com/11
[Autoruns 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #2 : http://erteam.nprotect.com/12
[TCPView 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #4 : http://erteam.nprotect.com/14
[Gmer 활용편] 간단한 Tool을 이용한 악성 프로그램 대응 #5 : http://erteam.nprotect.com/15

저작자 표시
신고
Posted by nProtect