정보보안 - 윈도우 루트킷 점검

윈도우 루트킷 점검

• Rootkit
  • 정의
    • 시스템에 탐지되지 않도록 하는 코드, 프로그램 집합
    • 시스템 관리자 권한을 획득하기 위한 프로그램
  • 구분
    • 사용자모드
      • 파일교체 (DLL, IAT후킹, API 엔트리패치 방법을 이용해서 정보를 숨김)
    • 커널모드
      • Native API (ntdll.dll, Kernel32.dll, user32.dll) 조작
      • 커널드라이브 - Win32 응용프로그램 간의 Data를 조작
      • 공격자의 정보를 숨김
  • 기능
    • 프로세스 / 스레드 감추기
    • 프로세스 보안설정 변경 / 제거
    • 파일 / 폴더 감추기
    • 레지스트리 / 서비스 감추기
    • 네트워크 정보 감추기
    • 스니핑, 시스템 제어
• 윈도우 루트킷 종류
  • Hacker Defender
    • 현재 가장 광범위하게 사용됨
    • 다양한 변종이 존재
    • 프로세스, 네트워크, 시작프로그램, 레지스트리, 서비스 등을 숨기는 가장 많은 기능 제공
  • FU
    • “EPROCESS” 의 링크 조작을 통한 프로세스를 숨기는 기능 제공
      • 중요한 정보들이 목록화 되어있는 파일
      • 시스템 커널이 실행중인 모든 프로세스의 리스트를 찾고자 할 때 사용
        • 윈도우 커널의 경우 프로세스가 아닌 스레드 기반으로 동작
        • 연결리스트 포인터 수정 가능
      • ActiveProcessLinks 의 Linked List 를 조작
  • Vanquish
    • DLL 인젝션 기법을 사용한 루트킷
    • 프로세스, 레지스트리, 서비스를 숨기는 기능
    • 로그인 정보 기록 기능 제공
  • AFX rootkit
    • 코드 인젝션과 API 후킹을 사용하는 루트킷
    • 프로세스, 모듈, 핸들, 파일, 포트, 레지스트리 등을 숨길 수 있는 기능 제공
  • NT Rootkit
    • 초기 윈도우 루트킷으로 현재까지 업데이트가 없는 상태임
• 윈도우 루트킷 탐지 도구
  • procexp
  • Rootkit Receiver
  • BlackLight
  • AntiRootkit
  • IceSword
  • Archon