기존의 안티바이러스/안티스파이웨어 제품도 속이는 방식으로 맬웨어를 숨길 수 있지만 대부분의 맬웨어 프로그램은 이미 루트킷을 사용하여 Windows PC 깊숙이 숨기고 있으며 점점 더 위험해지고 있습니다! DL3 루트킷 은 야생에서 볼 수 있는 가장 진보된 루트킷 중 하나입니다. 루트킷은 안정적이었고 32비트 Windows(Windows) 운영 체제 를 감염시킬 수 있었습니다 . 시스템에 감염을 설치하려면 관리자 권한이 필요했지만. 그러나 TDL3 는 이제 업데이트되어 64비트 버전의 Windows도(even 64-bit versions Windows) 감염시킬 수 있습니다 !
루트킷이란
루트킷 바이러스는 컴퓨터에 있는 특정 프로세스 또는 프로그램의 존재를 일반 탐지 방법으로부터 숨기도록 설계된 은폐 유형의 맬웨어 입니다.
Windows용 루트킷(Rootkits for Windows) 은 일반적으로 바이러스 백신 프로그램과 같은 악성 소프트웨어를 숨기는 데 사용됩니다. 바이러스, 웜, 백도어 및 스파이웨어에 의해 악의적인 목적으로 사용됩니다. 루트킷과 결합된 바이러스는 완전 스텔스 바이러스로 알려진 것을 생성합니다. 루트킷은 스파이웨어 분야에서 더 일반적이며 이제 바이러스 작성자도 더 일반적으로 사용하고 있습니다.
그들은 이제 효과적으로 숨기고 운영 체제 커널에 직접 영향을 미치는 새로운 유형의 슈퍼 스파이웨어 입니다. (Super Spyware)컴퓨터에서 트로이 목마 또는 키로거와 같은 악성 개체의 존재를 숨기는 데 사용됩니다. 위협이 루트킷 기술을 사용하여 숨기면 PC에서 맬웨어를 찾기가 매우 어렵습니다.
루트킷 자체는 위험하지 않습니다. 그들의 유일한 목적은 운영 체제에 남겨진 소프트웨어와 흔적을 숨기는 것입니다. 이것이 정상적인 소프트웨어인지 또는 맬웨어 프로그램인지 여부.
루트킷(Rootkit) 에는 기본적으로 세 가지 유형이 있습니다 . 첫 번째 유형인 " 커널 루트킷(Kernel Rootkits) "은 일반적으로 운영 체제 코어의 일부에 자체 코드를 추가하는 반면, 두 번째 유형인 " 사용자 모드 루트킷(User-mode Rootkits) "은 시스템 시작 중에 정상적으로 시작 하도록 특별히 Windows 를 대상으로 합니다. 또는 소위 "드로퍼"에 의해 시스템에 주입됩니다. 세 번째 유형은 MBR 루트킷 또는 부트킷(MBR Rootkits or Bootkits) 입니다.
AntiVirus 및 AntiSpyware 가 실패 하면 좋은 Anti-Rootkit 유틸리티(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) 의 도움을 받아야 할 수 있습니다 . Microsoft Sysinternals 의 (Microsoft Sysinternals)RootkitRevealer 는 고급 루트킷 탐지 유틸리티입니다. 그 출력은 사용자 모드 또는 커널 모드 루트킷의 존재를 나타낼 수 있는 레지스트리(Registry) 및 파일 시스템 API 불일치를 나열합니다.(API)
(Microsoft Malware Protection Center Threat Report)루트킷(Rootkits) 에 대한 Microsoft 맬웨어 방지 센터 위협 보고서
Microsoft Malware Protection Center 는 (Microsoft Malware Protection Center)루트킷 에 대한 (Rootkits)위협 보고서(Threat Report) 를 다운로드할 수 있도록 했습니다 . 이 보고서는 오늘날 조직과 개인을 위협하는 보다 교활한 유형의 맬웨어 중 하나인 루트킷을 조사합니다. 이 보고서는 공격자가 루트킷을 사용하는 방식과 영향을 받는 컴퓨터에서 루트킷이 작동하는 방식을 조사합니다. 다음은 초보자를 위한 루트킷(Rootkits) 이 무엇인지부터 시작하여 보고서의 요지입니다 .
루트킷(Rootkit) 은 공격자 또는 맬웨어 작성자가 일반적으로 시스템 관리자를 위해 예약되어 있는 노출/보안되지 않은 시스템을 제어하는 데 사용하는 도구 집합입니다. 최근 몇 년 동안 'ROOTKIT' 또는 'ROOTKIT FUNCTIONALITY'라는 용어 는 정상적인 컴퓨터에 바람직하지 않은 영향을 미치도록 설계된 프로그램인 MALWARE 로 대체되었습니다. (MALWARE –)맬웨어의 주요 기능은 사용자 컴퓨터에서 중요한 데이터와 기타 리소스를 비밀리에 빼내어 공격자에게 제공하여 공격자가 손상된 컴퓨터를 완전히 제어할 수 있도록 하는 것입니다. 또한, 탐지 및 제거가 어려우며 눈에 띄지 않으면 장기간, 아마도 몇 년 동안 숨겨져 있을 수 있습니다.
따라서 자연스럽게 손상된 컴퓨터의 증상은 가려져야 하고 결과가 치명적으로 판명되기 전에 고려해야 합니다. 특히 공격을 적발하기 위해서는 보다 강력한 보안 조치를 취해야 합니다. 그러나 언급한 바와 같이 이러한 루트킷/악성코드가 설치되면 은폐 기능으로 인해 다운로드할 수 있는 구성 요소와 해당 구성 요소를 제거하기 어렵습니다. 이러한 이유로 Microsoft 는 (Microsoft)ROOTKITS 에 대한 보고서를 만들었습니다 .
16페이지 분량의 보고서에는 공격자가 루트킷을 사용하는 방법과 이러한 루트킷이 영향을 받는 컴퓨터에서 어떻게 작동하는지 간략하게 설명되어 있습니다.
보고서의 유일한 목적은 많은 조직, 특히 컴퓨터 사용자를 위협하는 잠재적인 맬웨어를 식별하고 면밀히 조사하는 것입니다. 또한 널리 퍼진 맬웨어 제품군에 대해 언급하고 공격자가 정상적인 시스템에 이기적인 목적을 위해 이러한 루트킷을 설치하는 데 사용하는 방법을 조명합니다. 보고서의 나머지 부분에서는 사용자가 루트킷의 위협을 완화하는 데 도움이 되는 몇 가지 권장 사항을 제시하는 전문가를 찾을 수 있습니다.
루트킷의 유형
맬웨어가 운영 체제에 스스로 설치될 수 있는 위치가 많이 있습니다. 따라서 대부분 루트킷의 유형은 실행 경로의 전복을 수행하는 위치에 따라 결정됩니다. 여기에는 다음이 포함됩니다.
- 사용자 모드 루트킷
- 커널 모드 루트킷
- MBR 루트킷/부트킷
커널 모드 루트킷 손상의 가능한 영향은 아래 스크린샷을 통해 설명됩니다.
세 번째 유형은 마스터 부트 레코드(Master Boot Record) 를 수정하여 시스템을 제어하고 부트 시퀀스에서 가능한 가장 빠른 지점을 로드하는 프로세스를 시작하는 것입니다3. 파일, 레지스트리 수정, 네트워크 연결 증거 및 그 존재를 나타낼 수 있는 기타 가능한 표시기를 숨깁니다.
루트킷(Rootkit) 기능 을 사용하는 주목할만한 맬웨어(Malware) 제품군
- Win32/Sinowal 13 – 여러 시스템의 사용자 이름 및 암호와 같은 민감한 데이터를 훔치려고 하는 다중 구성 요소 맬웨어 제품군입니다. 여기에는 다양한 FTP , HTTP 및 이메일 계정에 대한 인증 세부 정보와 온라인 뱅킹 및 기타 금융 거래에 사용되는 자격 증명을 도용하려는 시도가 포함됩니다.
- Win32/Cutwail 15 – 임의의 파일을 다운로드하고 실행 하는 트로이 목마 . (Trojan)다운로드한 파일은 디스크에서 실행되거나 다른 프로세스에 직접 주입될 수 있습니다. 다운로드한 파일의 기능은 다양 하지만 일반적으로 Cutwail 은 스팸을 보내는 다른 구성 요소를 다운로드합니다. 커널 모드 루트킷을 사용하고 여러 장치 드라이버를 설치하여 영향을 받는 사용자로부터 구성 요소를 숨깁니다.
- Win32/Rustock트로이 목마(Trojans) 의 다중 구성 요소 제품군은 처음에 봇넷(botnet) 을 통한 "스팸" 이메일 배포를 지원하기 위해 개발되었습니다 . 봇넷은 공격자가 제어하는 손상된 컴퓨터의 대규모 네트워크입니다.
루트킷에 대한 보호
루트킷의 설치를 방지하는 것이 루트킷에 의한 감염을 방지하는 가장 효과적인 방법입니다. 이를 위해서는 백신 및 방화벽 제품과 같은 보호 기술에 대한 투자가 필요합니다. 이러한 제품은 기존의 서명 기반 탐지, 경험적 탐지, 동적 및 응답 서명 기능 및 동작 모니터링을 사용하여 보호에 대한 포괄적인 접근 방식을 취해야 합니다.
이러한 모든 서명 세트는 자동 업데이트 메커니즘을 사용하여 최신 상태로 유지해야 합니다. Microsoft 바이러스 백신 솔루션에는 영향을 받는 시스템의 커널을 수정하려는 시도를 감지하고 보고하는 라이브 커널 동작 모니터링, 숨겨진 드라이버의 식별 및 제거를 용이하게 하는 직접 파일 시스템 구문 분석을 포함하여 루트킷을 완화하도록 특별히 설계된 여러 기술이 포함되어 있습니다.
시스템이 손상된 것으로 확인되면 알려진 양호한 또는 신뢰할 수 있는 환경으로 부팅할 수 있는 추가 도구가 몇 가지 적절한 수정 조치를 제안할 수 있으므로 유용할 수 있습니다.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)
그러한 상황에서,
- 독립 실행형 시스템 스위퍼(Standalone System Sweeper) 도구( Microsoft 진단(Diagnostics) 및 복구 도구 집합(Recovery Toolset) ( DaRT ) 의 일부 )
- Windows Defender 오프라인(Defender Offline) 이 유용할 수 있습니다.
자세한 내용 은 Microsoft 다운로드 센터 에서 (Microsoft Download Center.)PDF 보고서를 다운로드할 수 있습니다.
What is Rootkit? How do Rootkits work? Rootkits explained.
While it is possible to hide malware in a waу that will fool even the traditional antivirus/antispyware products, most malware programs are аlready using rootkits to hide deep on your Windows PC … and they are getting more dangerous! Thе DL3 rootkіt іs one of the most advаnced rootkits evеr seen in the wіld. Thе rootkit was stable and could infect 32 bіt Windows operating systems; although administrator rights were needed to install the infectіon in the system. But TDL3 haѕ now been updated and is now able to infect even 64-bit versions Windows!
What is Rootkit
A Rootkit virus is a stealth type of malware that is designed to hide the existence of certain processes or programs on your computer from regular detection methods, so as to allow it or another malicious process privileged access to your computer.
Rootkits for Windows are typically used to hide malicious software from, for example, an antivirus program. It is used for malicious purposes by viruses, worms, backdoors, and spyware. A virus combined with a rootkit produces what is known as full stealth viruses. Rootkits are more common in the spyware field, and they are now also becoming more commonly used by virus authors as well.
They are now an emerging type of Super Spyware that hides effectively & impacts the operating system kernel directly. They are used to hide the presence of malicious object like trojans or keyloggers on your computer. If a threat uses rootkit technology to hide it is very hard to find the malware on your PC.
Rootkits in themselves are not dangerous. Their only purpose is to hide software and the traces left behind in the operating system. Whether this is normal software or malware programs.
There are basically three different types of Rootkit. The first type, the “Kernel Rootkits” usually add their own code to parts of the operating system core, whereas the second kind, the “User-mode Rootkits” are specially targeted to Windows to startup up normally during the system start-up, or injected into the system by a so-called “Dropper”. The third type is MBR Rootkits or Bootkits.
When you find your AntiVirus & AntiSpyware failing, you may need to take the help of a good Anti-Rootkit Utility. RootkitRevealer from Microsoft Sysinternals is an advanced rootkit detection utility. Its output lists Registry and file system API discrepancies that may indicate the presence of a user-mode or kernel-mode rootkit.
Microsoft Malware Protection Center Threat Report on Rootkits
Microsoft Malware Protection Center has made available for download its Threat Report on Rootkits. The report examines one of the more insidious types of malware threatening organizations and individuals today — the rootkit. The report examines how attackers use rootkits, and how rootkits function on affected computers. Here is a gist of the report, starting with what are Rootkits – for the beginner.
Rootkit is a set of tools that an attacker or a malware creator uses to gain control over any exposed/unsecured system which otherwise is normally reserved for a system administrator. In recent years the term ‘ROOTKIT’ or ‘ROOTKIT FUNCTIONALITY’ has been replaced by MALWARE – a program designed to have undesirable effects on a healthy computer. Malware’s prime function is to withdraw valuable data and other resources from a user’s computer secretly and provide it to the attacker, thereby giving him complete control over the compromised computer. Moreover, they are difficult to detect and remove and can remain hidden for extended periods, possibly years, if gone unnoticed.
So naturally, the symptoms of a compromised computer need to be masked and taken into consideration before the outcome proves fatal. Particularly, more stringent security measures should be taken to uncover the attack. But, as mentioned, once these rootkits/malware are installed, its stealth capabilities make it difficult to remove it and its components that it might download. For this reason, Microsoft has created a report on ROOTKITS.
The 16-page report outlines how an attacker uses rootkits and how these rootkits function on affected computers.
The sole purpose of the report is to identify and closely examine potent malware threatening many organizations, computer users in particular. It also mentions some of the prevalent malware families and brings into the light the method the attackers use to install these rootkits for their own selfish purposes on healthy systems. In the remainder of the report, you will find experts making some recommendations to help users mitigate the threat from rootkits.
Types of Rootkits
There are many places where malware can install itself into an operating system. So, mostly the type of rootkit is determined by its location where it performs its subversion of the execution path. This includes:
- User Mode Rootkits
- Kernel Mode Rootkits
- MBR Rootkits/bootkits
The possible effect of a kernel-mode rootkit compromise is illustrated via a screen-shot below.
The third type, modify the Master Boot Record to gain control of the system and start process of loading the earliest possible point in the boot sequence3. It hides files, registry modifications, evidence of network connections as well as other possible indicators that can indicate its presence.
Notable Malware families that use Rootkit functionality
- Win32/Sinowal13 – A multi-component family of malware that tries to steal sensitive data such as user names and passwords for different systems. This includes attempting to steal authentication details for a variety of FTP, HTTP, and email accounts, as well as credentials used for online banking and other financial transactions.
- Win32/Cutwail15 – A Trojan that downloads and executes arbitrary files. The downloaded files may be executed from disk or injected directly into other processes. While the functionality of the downloaded files is variable, Cutwail usually downloads other components that send spam. It uses a kernel-mode rootkit and installs several device drivers to hide its components from affected users.
- Win32/Rustock – A multi-component family of rootkit-enabled backdoor Trojans initially developed to aid in the distribution of “spam” email through a botnet. A botnet is a large attacker-controlled network of compromised computers.
Protection against rootkits
Preventing the installation of rootkits is the most effective method to avoid infection by rootkits. For this, it is necessary to invest in protective technologies such as anti-virus and firewall products. Such products should take a comprehensive approach to protection by using traditional signature-based detection, heuristic detection, dynamic and responsive signature capability and behavior monitoring.
All these signature sets should be kept up to date using an automated update mechanism. Microsoft antivirus solutions include a number of technologies designed specifically to mitigate rootkits, including live kernel behavior monitoring that detects and reports on attempts to modify an affected system’s kernel, and direct file system parsing that facilitates the identification and removal of hidden drivers.
If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.
Under such circumstances,
- The Standalone System Sweeper tool (part of the Microsoft Diagnostics and Recovery Toolset (DaRT)
- Windows Defender Offline may be useful.
For more information, you can download the PDF report from Microsoft Download Center.