루트킷이란 무엇입니까? 루트킷은 어떻게 작동합니까? 루트킷에 대해 설명했습니다.

기존의 안티바이러스/안티스파이웨어 제품도 속이는 방식으로 맬웨어를 숨길 수 있지만 대부분의 맬웨어 프로그램은 이미 루트킷을 사용하여 Windows PC 깊숙이 숨기고 있으며 점점 더 위험해지고 있습니다! DL3 루트킷 은 야생에서 볼 수 있는 가장 진보된 루트킷 중 하나입니다. 루트킷은 안정적이었고 32비트 Windows(Windows) 운영 체제 를 감염시킬 수 있었습니다 . 시스템에 감염을 설치하려면 관리자 권한이 필요했지만. 그러나 TDL3 는 이제 업데이트되어 64비트 버전의 Windows도(even 64-bit versions  Windows) 감염시킬 수 있습니다 !

루트킷이란

바이러스

루트킷 바이러스는  컴퓨터에 있는 특정 프로세스 또는 프로그램의 존재를 일반 탐지 방법으로부터 숨기도록 설계된 은폐 유형의 맬웨어 입니다.

Windows용 루트킷(Rootkits for Windows) 은 일반적으로 바이러스 백신 프로그램과 같은 악성 소프트웨어를 숨기는 데 사용됩니다. 바이러스, 웜, 백도어 및 스파이웨어에 의해 악의적인 목적으로 사용됩니다. 루트킷과 결합된 바이러스는 완전 스텔스 바이러스로 알려진 것을 생성합니다. 루트킷은 스파이웨어 분야에서 더 일반적이며 이제 바이러스 작성자도 더 일반적으로 사용하고 있습니다.

그들은 이제 효과적으로 숨기고 운영 체제 커널에 직접 영향을 미치는 새로운 유형의 슈퍼 스파이웨어 입니다. (Super Spyware)컴퓨터에서 트로이 목마 또는 키로거와 같은 악성 개체의 존재를 숨기는 데 사용됩니다. 위협이 루트킷 기술을 사용하여 숨기면 PC에서 맬웨어를 찾기가 매우 어렵습니다.

루트킷 자체는 위험하지 않습니다. 그들의 유일한 목적은 운영 체제에 남겨진 소프트웨어와 흔적을 숨기는 것입니다. 이것이 정상적인 소프트웨어인지 또는 맬웨어 프로그램인지 여부.

루트킷(Rootkit) 에는 기본적으로 세 가지 유형이 있습니다 . 첫 번째 유형인 " 커널 루트킷(Kernel Rootkits) "은 일반적으로 운영 체제 코어의 일부에 자체 코드를 추가하는 반면, 두 번째 유형인 " 사용자 모드 루트킷(User-mode Rootkits) "은 시스템 시작 중에 정상적으로 시작 하도록 특별히 Windows 를 대상으로 합니다. 또는 소위 "드로퍼"에 의해 시스템에 주입됩니다. 세 번째 유형은 MBR 루트킷 또는 부트킷(MBR Rootkits or Bootkits) 입니다.

AntiVirusAntiSpyware 가 실패 하면 좋은 Anti-Rootkit 유틸리티(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) 의 도움을 받아야 할 수 있습니다 . Microsoft Sysinternals 의 (Microsoft Sysinternals)RootkitRevealer 는 고급 루트킷 탐지 유틸리티입니다. 그 출력은 사용자 모드 또는 커널 모드 루트킷의 존재를 나타낼 수 있는 레지스트리(Registry) 및 파일 시스템 API 불일치를 나열합니다.(API)

(Microsoft Malware Protection Center Threat Report)루트킷(Rootkits) 에 대한  Microsoft 맬웨어 방지 센터 위협 보고서

Microsoft Malware Protection Center 는 (Microsoft Malware Protection Center)루트킷 에 대한 (Rootkits)위협 보고서(Threat Report) 를 다운로드할 수 있도록 했습니다 . 이 보고서는 오늘날 조직과 개인을 위협하는 보다 교활한 유형의 맬웨어 중 하나인 루트킷을 조사합니다. 이 보고서는 공격자가 루트킷을 사용하는 방식과 영향을 받는 컴퓨터에서 루트킷이 작동하는 방식을 조사합니다. 다음은 초보자를 위한 루트킷(Rootkits) 이 무엇인지부터 시작하여 보고서의 요지입니다 .

루트킷(Rootkit) 은 공격자 또는 맬웨어 작성자가 일반적으로 시스템 관리자를 위해 예약되어 있는 노출/보안되지 않은 시스템을 제어하는 ​​데 사용하는 도구 집합입니다. 최근 몇 년 동안 'ROOTKIT' 또는 'ROOTKIT FUNCTIONALITY'라는 용어 는 정상적인 컴퓨터에 바람직하지 않은 영향을 미치도록 설계된 프로그램인 MALWARE 로 대체되었습니다. (MALWARE –)맬웨어의 주요 기능은 사용자 컴퓨터에서 중요한 데이터와 기타 리소스를 비밀리에 빼내어 공격자에게 제공하여 공격자가 손상된 컴퓨터를 완전히 제어할 수 있도록 하는 것입니다. 또한, 탐지 및 제거가 어려우며 눈에 띄지 않으면 장기간, 아마도 몇 년 동안 숨겨져 있을 수 있습니다.

따라서 자연스럽게 손상된 컴퓨터의 증상은 가려져야 하고 결과가 치명적으로 판명되기 전에 고려해야 합니다. 특히 공격을 적발하기 위해서는 보다 강력한 보안 조치를 취해야 합니다. 그러나 언급한 바와 같이 이러한 루트킷/악성코드가 설치되면 은폐 기능으로 인해 다운로드할 수 있는 구성 요소와 해당 구성 요소를 제거하기 어렵습니다. 이러한 이유로 Microsoft 는 (Microsoft)ROOTKITS 에 대한 보고서를 만들었습니다 .

16페이지 분량의 보고서에는 공격자가 루트킷을 사용하는 방법과 이러한 루트킷이 영향을 받는 컴퓨터에서 어떻게 작동하는지 간략하게 설명되어 있습니다.

보고서의 유일한 목적은 많은 조직, 특히 컴퓨터 사용자를 위협하는 잠재적인 맬웨어를 식별하고 면밀히 조사하는 것입니다. 또한 널리 퍼진 맬웨어 제품군에 대해 언급하고 공격자가 정상적인 시스템에 이기적인 목적을 위해 이러한 루트킷을 설치하는 데 사용하는 방법을 조명합니다. 보고서의 나머지 부분에서는 사용자가 루트킷의 위협을 완화하는 데 도움이 되는 몇 가지 권장 사항을 제시하는 전문가를 찾을 수 있습니다.

루트킷의 유형

맬웨어가 운영 체제에 스스로 설치될 수 있는 위치가 많이 있습니다. 따라서 대부분 루트킷의 유형은 실행 경로의 전복을 수행하는 위치에 따라 결정됩니다. 여기에는 다음이 포함됩니다.

  1. 사용자 모드 루트킷
  2. 커널 모드 루트킷
  3. MBR 루트킷/부트킷

커널 모드 루트킷 손상의 가능한 영향은 아래 스크린샷을 통해 설명됩니다.

세 번째 유형은 마스터 부트 레코드(Master Boot Record) 를 수정하여 시스템을 제어하고 부트 시퀀스에서 가능한 가장 빠른 지점을 로드하는 프로세스를 시작하는 것입니다3. 파일, 레지스트리 수정, 네트워크 연결 증거 및 그 존재를 나타낼 수 있는 기타 가능한 표시기를 숨깁니다.

루트킷(Rootkit) 기능 을 사용하는 주목할만한 맬웨어(Malware) 제품군

  • Win32/Sinowal 13 – 여러 시스템의 사용자 이름 및 암호와 같은 민감한 데이터를 훔치려고 하는 다중 구성 요소 맬웨어 제품군입니다. 여기에는 다양한 FTP , HTTP 및 이메일 계정에 대한 인증 세부 정보와 온라인 뱅킹 및 기타 금융 거래에 사용되는 자격 증명을 도용하려는 시도가 포함됩니다.
  • Win32/Cutwail 15 – 임의의 파일을 다운로드하고 실행 하는 트로이 목마 . (Trojan)다운로드한 파일은 디스크에서 실행되거나 다른 프로세스에 직접 주입될 수 있습니다. 다운로드한 파일의 기능은 다양 하지만 일반적으로 Cutwail 은 스팸을 보내는 다른 구성 요소를 다운로드합니다. 커널 모드 루트킷을 사용하고 여러 장치 드라이버를 설치하여 영향을 받는 사용자로부터 구성 요소를 숨깁니다.
  • Win32/Rustock트로이 목마(Trojans)  의 다중 구성 요소 제품군은 처음에 봇넷(botnet) 을 통한 "스팸" 이메일 배포를 지원하기 위해 개발되었습니다 . 봇넷은 공격자가 제어하는 ​​손상된 컴퓨터의 대규모 네트워크입니다.

루트킷에 대한 보호

루트킷의 설치를 방지하는 것이 루트킷에 의한 감염을 방지하는 가장 효과적인 방법입니다. 이를 위해서는 백신 및 방화벽 제품과 같은 보호 기술에 대한 투자가 필요합니다. 이러한 제품은 기존의 서명 기반 탐지, 경험적 탐지, 동적 및 응답 서명 기능 및 동작 모니터링을 사용하여 보호에 대한 포괄적인 접근 방식을 취해야 합니다.

이러한 모든 서명 세트는 자동 업데이트 메커니즘을 사용하여 최신 상태로 유지해야 합니다. Microsoft 바이러스 백신 솔루션에는 영향을 받는 시스템의 커널을 수정하려는 시도를 감지하고 보고하는 라이브 커널 동작 모니터링, 숨겨진 드라이버의 식별 및 제거를 용이하게 하는 직접 파일 시스템 구문 분석을 포함하여 루트킷을 완화하도록 특별히 설계된 여러 기술이 포함되어 있습니다.

시스템이 손상된 것으로 확인되면 알려진 양호한 또는 신뢰할 수 있는 환경으로 부팅할 수 있는 추가 도구가 몇 가지 적절한 수정 조치를 제안할 수 있으므로 유용할 수 있습니다.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

그러한 상황에서,

  1. 독립 실행형 시스템 스위퍼(Standalone System Sweeper) 도구( Microsoft 진단(Diagnostics)복구 도구 집합(Recovery Toolset) ( DaRT ) 의 일부 )
  2. Windows Defender 오프라인(Defender Offline) 이 유용할 수 있습니다.

자세한 내용 은 Microsoft 다운로드 센터 에서 (Microsoft Download Center.)PDF 보고서를 다운로드할 수 있습니다.



About the author

안녕! 제 이름은 하드웨어 해커입니다. 저는 10년 이상의 컴퓨터 수리 및 개조 경험이 있습니다. 노트북에서 태블릿, 스마트 TV에 이르기까지 거의 모든 것을 고칠 수 있습니다. 내 기술을 통해 고객이 문제를 빠르고 효율적으로 해결하도록 도울 수 있습니다. 내 블로그는 사람들이 올바른 도구를 사용하여 컴퓨터와 가전제품을 수리하는 방법을 배울 수 있도록 돕는 데 전념하고 있습니다. 그리고 내 Facebook 페이지는 컴퓨터와 관련된 모든 것에 대한 팁, 트릭 및 통찰력을 공유하는 곳입니다!



Related posts