[MOONSLAB.com]

안티 루트킷 프로그램 중의 하나인 XueTr이 v0.4 버전을 출시했습니다. 이 제품은 윈도우 2000, XP, 2003, Vista, 2008, Windows 7을 지원합니다. 다만, 일부 운영체제에서는 64비트를 지원하지 않을 수도 있습니다.

감사합니다.

바이러스, 악성코드, 웜, 스팸 등등 우리가 사용하는 컴퓨터에서는 다양한 유해 사범(!)들이 안전을 무력화하기 위해 노력하고 있습니다.

이 중에서 가장 난해한 기술이기도 하면서, 가장 치명적인 영향을 미치는 유해 사범이 바로 루트킷(RootKit)입니다. 루트킷에 대한 자세한 글은 생략하며, 최근 많은 관심을 갖게 되는 가상화에서 루트킷에 대한 염려에 대한 글은 아래 링크를 참고하십시오.


이러한 루트킷은 윈도우 XP 64비트가 출현한 이래 아직까지 64비트 환경에서 동작하지 못하는 상태였는데, 이제 64비트에서 정상적으로 동작할 만큼 기술적인 축척이 이뤄진 것으로 보입니다. 물론, 32비트는 이미 예전에 정복된 것입니다.

64비트 루트킷은 브라질에서 처음 발견되었으며, 자바 런타임 환경(JRE)의 취약점을 이용하도록 설계되었습니다. 만약, 자바 보안 패치가 적용되지 않는 컴퓨터에서는 웹사이트에 접속하자마자 악성코드 즉 루트킷이 컴퓨터에 자동으로 설치되고, 그 이후에 은행 접속 정보와 같은 계정 정보를 빼내도록 되어 있습니다.

64비트 루트킷을 분석한 자료는 아래 링크를 참고하십시오.


이제 공격자들은 가공할 무기를 하나 더 확보한 셈이되며, PC 즉 희생자는 한층 더 늘어날 것으로 예상됩니다.

감사합니다.

컴퓨터에 감염되는 악성코드는 보통, 바이러스, 트로이목마, 웜, 스파이웨어 등으로 나눌 수 있다. 하지만, 루트킷은 위험한 악성코드임에도 불구하고 그 특성상 잘 탐지되지 않는 경우가 많다.

악성 프로그램 중의 하나인 Alureon 루트킷이 드디어 64비트 운영체제에서 동작하는 사례가 발표되어 이를 정리해 봤습니다.


윈도우 XP 시절부터 윈도우 비스타/7까지 개인용 운영체제에는 32비트와 64비트가 나눠져 있습니다.

일반적인 프로그램에서는 그리 큰 문제가 되지 않겠지만, 안티 바이러스(백신)와 같이 시스템에 매우 밀접한 관계를 맺고 있는 프로그램은 호환성 측면에서 제대로 64비트에 대응하지 못하여 온 것이 사실입니다.

실제로 국내 무료 안티바이러스를 보자면, V3 Lite 제품이 64비트를 지원하기 시작한 때는 2010년 3월 24일이며, 알약의 경우에는 아직 지원되지 않고 있습니다. 참고로, 편법으로 알약을 설치하는 방법이 인터넷 상에서 널리 알려져 있지만, 이 글을 읽으시는 분들은 절대 그렇게 설치하지 않도록 주의하십시오.

반대로 악성 프로그램(바이러스, Malware)의 입장에서도 기존 32비트 운영체제에서는 숙달된 프로그래밍 실력, 경험을 바탕으로 다양한 악성 프로그램을 배포해 왔습니다. 악성 프로그램에는 스파이웨어, 바이러스, 웜 등 다양한 형태가 있습니다만 특히, 악성 프로그램 중에서 가장 어려운 기법에 속하는 루트킷(rootkit)에서는 64비트 운영체제에서 제대로된 공격을 하지 못했습니다.

이번에 발견된 Alureon 루트킷의 변종은 쉽게 발견된 것이 아니라, 여러가지 단계를 거쳐 마이크로소프트가 분석 및 치료를 해 오는 과정에서 나온 결과여서 더욱더 충격적이지 않을 수 없습니다.

최초에 발견된 Alureon 루트킷은 2010년 2월 초에 있었던 정기 보안 업데이트 시에 블루스크린을 보여주는 사례로 부터 시작되었습니다. 이를 조사하던 중에 나온 악성 프로그램이 바로 Alureon 입니다.


이후 마이크로소프트는 Alureon 루트킷의 변종이 출현함에 따라 이를 진단하여 치료하는 작업을 진행했으며 지난 5월까지 매우 성공적인 결과를 얻을 수 있었습니다.


아래 표는 감염된 PC의 운영체제를 기준으로 나눈 것으로 윈도우 XP가 주된 목표였다는 것을 알 수 있습니다.


출처: http://blogs.technet.com/b/mmpc/archive/2010/05/21/msrt-may-threat-reports-and-alureon.aspx


하지만, 최근 조사에 따르면 기존 Alureon이 드라이버를 감염시키는 방식이었지만, MBR(Master Boot Record)에 감염시키는 새로운 형태의 변종이 출현했다는 사실을 밝혀냈습니다. 실제 64비트 운영체제에 영향을 미치지는 않지만, 가상 파일시스템의 일부분인 ldr64라는 파일에 삽입됩니다.

게다가, 변종의 새로운 형태는 윈도우 비스타/7 64비트 시스템을 감염시킬 수 있다는 사실도 알려졌습니다. 참고로, 윈도우 XP, 윈도우 서버 2003 64비트에서는 시스템이 부팅되지 않도록 손상시킵니다.

64비트 윈도우 운영체제에서는 시스템에 관련된 중요한 파일을 보호하고 변조하지 못하게 하는 다양한 기술이 적용되어 있으며 이중 대표적인 부분이 바로 파일 서명과 PatchGuard입니다. 만약 커널에 관련된 파일을 변경하려고 시도할 경우에는 이를 예방하게 됩니다.

하지만, 이러한 기술이 실행되기 전에 부팅 과정 중에 감염시키는 방법이 성공하게 되면 서명되지 않은 드라이버를 정상적으로 삽입하여 실행할 수 있게 되고, 이러는 과정으로 감염이 이뤄지게 됩니다.

PatchGuard를 우회하는 기법은 아래 자료를 참고하십시오.



문제는 루트킷을 찾아내는 방법이 그리 수월치 않다는 점입니다. 루트킷이 동작하게 되면 커널 상에서 동작하게 되므로 안티바이러스와 같이 진단 프로그램에서 찾아내기가 매우 어렵습니다. Alureon 루트킷의 경우에는 아래의 방법을 통해 사용자가 직접 루트킷에 감염되어 있는지 확인할 수 있습니다.


즉, 디스크 관리에서 루트킷의 설치된 경우에는 윈도우의 시스템 드라이브와 같은 설치된 파티션이 제대로 보이지 않게 됩니다.


마이크로소프트는 이러한 문제점을 해결하기 위한 방안을 아직까지 제시하지 못하고 있습니다. 다만, 동사가 제공하는 MSE(Microsoft Essentials), 포어프론트 클라이언트 시큐리티, 포어프론트 서버 시큐리티, TMG 등에서 Alureon 루트킷을 진단 및 삭제할 수 있다고 밝히고 있습니다.

그리고, 시만텍에 따르면 Backdoor.Tidserv.L 이라는 악성 프로그램은 32비트와 64비트에서 모두 동작한다고 합니다. 즉, 운영체제를 감지하여 적절한 방식으로 감염을 시키는 것입니다.

이러한 사례를 통해 볼 때, 64비트 운영체제도 이제 악성 프로그램의 손아귀로 들어갈 날이 얼마 남지 않은 것으로 예상됩니다.

감사합니다.

바이러스토탈(http://www.virustotal.com)은 파일(또는 URL)에 악성 프로그램이 포함되어 있는지 진단해 주는 사이트로, 다양한 안티바이러스 엔진에서 순차적으로 검사를 진행합니다.

따라서, 최신 악성 프로그램의 경우에는 한두가지 제품에서만 (초기에) 진단하는 경우가 많으므로, 다양한 백신의 분석을 검토하여 악성 여부를 사용자가 가늠할 수 있습니다.

바이러스토탈에는 어베스트! 엔진이 4와 5두가지로 나눠서 제공됩니다. 악성 프로그램을 보통 검사해 보면 거의 대부분 동일한 진단을 하게 되지만, 다음과 같은 진단명은 어베스트! V5 버전에서만 볼 수 있습니다.

• Win32:Packed - 실행 압축(SFX) 형식으로 감염된 파일
• Win32:SuspBehav - 의심스러운 행동을 하는 파일

어베스트! V4 엔진의 가장 큰 오진의 원인은 바로 실행 압축(executable archive)을 악성 프로그램으로 진단하는 것이었습니다. 그 이유는 일반적으로 악성 프로그램이 분석을 막기 위해 프로그램의 헤더를 압축하고, 헤더값을 일부 변조하여 압축을 해제할 수 없게 하는 경우가 많았기 때문입니다. 어베스트! V5에서는 이러한 문제를 해결하기 위해 추가적인 기능을 채택하였습니다.

Win32:SuspBehav는 어베스트! V5에 포함된 루트킷 탐지 기술과 가상화(sandbox)를 통해 진단하는 경우에 나타날 수 있으며, 어베스트! V4에서는 이 진단명이 존재하지 않습니다.

감사합니다.

 

지난 2월 10일 경에 마이크로소프트의 정기 보안 업데이트가 발표되었습니다. 일반적으로 자동 업데이트로 설정되어 있으므로, 하루 이틀 사이에 업데이트를 컴퓨터에 다운로드하여 설치하게 됩니다.

지난 4월에는 바이러스 평가 기관으로 유명한 AV-TEST에서 윈도우 XP/비스타 운영 체제를 바탕으로 루트킷의 진단 및 치료에 대한 테스트 결과가 웹사이트에 공개되었습니다. 간단하게 정리해서 올려 봅니다.

최초로 PC에 바이러스가 출현한 때를 회상(!)해 보면, 파일/부트 바이러스가 다수였으며 일부 메모리 상주 바이러스 등 그 전파 방법이라든지 파괴(공격) 수법이 간단하였습니다. 하지만, 최근의 상황을 보면 다양한 공격 방법을 사용하고 시스템에 미치는 영향도 매우 다양합니다. 파일을 삭제, 변조하는 경우도 있지만 일부 공격에서는 사용자가 감염된 것을 알 수 없도록 은폐하는 기법까지 사용합니다. 또한, 이메일을 통해 감염되면서 다양한 방법으로 다른 사람에게 전파하는 경우도 있습니다.

루트킷에 대한 간략한 정의는 아래 링크를 참고하시기 바라며 본격적으로 테스트 결과를 살펴 보도록 하겠습니다.

참고자료: http://cafe.naver.com/malzero/15338 네이버 바이러스제로 시즌2 - 베스트 님.

1. 테스트 샘플 선정

   전체 60개의 루트킷 샘플을 준비하였으며 윈도우 XP를 기준으로 했다. 샘플에는 Sony에서 개발한 것으로 알려져 시끄러웠던 XCP/First4Internet과 독일 DVD 미스터 앤 미시즈 스미드에 사용된 Settec이 포함되어 있다. 또한 Agent, Delf, Dragonbot, Feebs, Fuzen, Graybird, Hacker Defender, Haxdoor, Hider, Hupigon, iBill, Kenfa, Klone, Madtol, Maslan, NsAnti, NT Illusion, NT Rootkit, Nuwar, Pakes, PC Client, QQPass, Rontokbro, Small, Tibs, Wpla, X-shadow 및 그 변종들도 포함되었다.

   참고로 윈도우 비스타에서는 위에서 언급한 샘플 중 6개만이 정상 동작하기 때문에 별도로 언급하지 않는다. 이 글의 하단에 있는 링크를 통해 참고하기 바란다.

2. 동작하지 않는 루트킷 탐지 테스트

   일반적으로 안티 바이러스 제품은 서명(Signature)을 이용하여 악성 프로그램을 진단한다. 이러한 방식으로 루트킷을 진단하는 것은 매우 중요한데, 이는 실시간 감시 기능에서 루트킷이 동작하여 설치되는 것을 예방할 수 있기 때문이다.

   테스트에는 수동 검사(On-demand scan)과 실시간 감시(realtime guard) 모두가 사용되었다. 만약 실시간 감시에서 다운로드하여 실행하는 루트킷을 진단하지 못하는 경우에는 치명적인 결과를 가져온다는 것은 쉽게 알 수 있는 사실이다.

   웹 기반의 스캐너는 보통 Active-X 컨트롤을 설치하여 이용하는 방식으로 웹에 접속하여 최신의 데이터베이스를 다운로드한 이후에 검사한다.

3. 진단 및 치료 성능 테스트

   이 테스트에 사용된 루트킷 샘플은 "실제로" 동작하는 루트킷으로 감염시에는 객체, 파일, 레지스트리 등을 변조하거나 숨기는 특징을 보이게 된다. 루트킷을 발견하여 치료하는 경우에는 이러한 변조된 상태를 원래대로 되돌리고 감염된 부분을 모두 제거하는지 알아 보는 테스트이다. 이 테스트를 위해서는 실시간 감시 기능을 끈 상태로 진행하였다.

4. 테스트 결과

1. 마무리

   실제 이 데이터를 보면서 100% 성능을 보장하리라 확신하는 유저는 없으리라 생각되지만, 루트킷에 대한 다양한 테스트 결과를 보면 어느 한 측면에서 우위를 점하더라도 다른 부분에서 취약한 경우가 많다. 자기가 사용하는 보안 제품과 더불어 함께 안티 루트킷 전문 프로그램을 현명하게 선택한다면 보다 나은 보안을 갖출 수 있다고 생각된다.

   자료: http://www.av-test.org/down/papers/2008-04_vb_rootkits.pdf

마이크로소프트는 최근의 보안 경향에 대응하기 위해 루트 킷 탐지 기술을 보유한 업체인 코모쿠 사를 합병하였습니다. 이러한 결과 차후에 개발되는 보안 제품(포어프론트, 라이브 원케어 등등)에는 루트킷 탐지가 가능해지리라 유추가 가능할 것입니다.

코모쿠는 주로 가정용 제품의 보안 부분과 국방성과 같은 기관을 고객으로 하고 있으며 마이크로소프트의 안티 말웨어의 라인업을 좀더 강화할 것입니다.

이 회사는 2004년도에 DARPA(Defense Advanced Research Projects Agency)가 설립하었으며 자본금은 250만달러입니다. 코모쿠의 기술력은 다양한 운영체제에서 시스템의 이상 현상을 감지하여 루트킷을 찾아내고, 증거를 수집합니다.

최근 어베스트!의 버전업에 눈길을 끌고 있는 회사가 있습니다. 바로 GMER로 어베스트! 안티 바이러스 제품의 안티 루트킷 모듈의 기술을 제공하는 회사입니다. 이 회사에서는 당연히 루트킷을 진단하고 치료할 수 있는 프로그램을 제공합니다. 일명 GMER!

GMER에서 검사할 수 있는 항목은 다음과 같습니다.

• 숨겨진 프로세스
• 숨겨진 쓰레드
• 숨겨진 모듈
  
• 숨겨진 서비스
• 숨겨진 파일
• 숨겨진 ADS(alternative Data Streams)
• 숨겨진 레지스트리
• SSDT 후킹 드라이버
• IDT 후킹 드라이버
• IRP 호출 후킹 드라이버
• 기타 후킹
  

또한, 다음과 같은 시스템 함수를 모니터링할 수 있습니다.

• 프로세스 생성
• 드라이버 로딩
• 라이브러리 로딩
• 파일 함수
• 레지스트리 항목
• TCP/IP 연결
  

GMER는 윈도우 NT, 2000, XP, 비스타에서 사용할 수 있습니다.

프로그램 다운로드: http://www.gmer.net/files.php

제작사 홈페이지:   http://www.gmer.net

국내 소개 자료: NTFAQ http://ntfaq.co.kr/4035

특히 GMER의 기술력 중의 하나는 바로 빠른 속도로 루트킷을 찾아 낸다는 점에 있습니다. 국내외 보안 회사에서는 보통 하나 이상의 안티루트킷 제품을 유/무료로 제공하는데 실제 비교해 보면 속도면에서 강점을 가집니다.