[MOONSLAB.com]

안티 루트킷 프로그램 중의 하나인 XueTr이 v0.4 버전을 출시했습니다. 이 제품은 윈도우 2000, XP, 2003, Vista, 2008, Windows 7을 지원합니다. 다만, 일부 운영체제에서는 64비트를 지원하지 않을 수도 있습니다.

감사합니다.

라바소프트는 Ad-Aware라는 보안 제품으로 어느 정도 성능을 인정받고 있는 외국 보안 기업입니다.

가장 관심을 두는 분야는 바로 무료 제품인데, 라바소프트에서는 Ad-Aware Free + AntiMalware 라는 긴 이름을 가진 제품이 있습니다. 이 제품은 AntiSpyware와 Anti-RootKit 기능을 가지고 있습니다만, 아쉽게도 Anti-Virus 기능은 탑재되어 있지 않습니다.

Antivirus 기능이 탑재된 제품은 유료로 판매되고 있으며, 이름은 Ad-Aware Pro라고 불리웁니다.

이 제품에 대한 자세한 사항은 아래 링크를 참고하십시오.

하여튼, 이번에 새롭게 출시하는 무료 제품인 Ad-Aware Free Internet Security 제품에서는 드디어 Anti-Virus 제품이 포함되었으며, 특히 휴리스틱(Heuristic) 기술 또한 탑재되어 보다 나은 진단 성능을 가질 것으로 예상됩니다.

제품의 성능이나 기능에 대해서는 해당 사이트의 자료를 참고하기 바라며, 간략하게 제품이 제공하는 기능에 대해 정리합니다.

1. 지원하는 운영체제

• Windows 2000 Pro
• Windows XP (32비트)
• Windows Vista (32/64비트)
• Windows 7 (32/64비트)

2. 지원하는 언어

• 영어, 중국어, 네덜란드어, 프랑스어, 독일어, 이탈리아어, 일본어, 포르투칼어 등등
• 한글 지원 안함

3. 주요 특징

• 안티스파이웨어 기능 뿐만 아니라 안티바이러스 기능까지 탑재하므로써 다양한 악성 프로그램을 효과적으로 차단할 수 있음.
• Ad-Watch Live 기본형(실시간 보호) 제공
• 휴리스틱(Genotype, 행동 기반) 지원
• 루트킷 차단
• 예약 기능
• Neutralizer(재부팅 시에 감염을 재시도하는 악성 코드 차단)
• 인터넷 익스플로어용 다운로더 지원
• 시스템 자원 최소 사용
• 기본/고급 인터페이스 지원
• 스킨 지원
• ThreatWork(감염이 의심되는 파일을 분석팀으로 전송) 접수 시스템 제공
• 자동 업데이트

아직 Ad-Aware Free Internet Security 제품에 대한 충분한 테스트 결과나 자료가 부족한 편입니다. 따라서, 본 제품을 사용할 때에는 테스트 시스템과 같이 중요하지 않은 시스템에서 충분히 검증한 후에 사용하시기 바랍니다.

감사합니다.

출처 및 다운로드: http://www.lavasoft.com/products/ad_aware_free.php

 

무료백신으로 인기를 얻고 있는 어베스트! 안티바이러스 제품의 차세대 버전인 V5의 베타 테스트가 진행 중에 있습니다.

V5 버전의 가장 큰 특징은 슈트(Suite)의 도입입니다. '슈트'란 안티바이러스 엔진 이외에 안티 스팸, 방화벽과 같이 추가적인 보안 대책을 제공하는 프로그램의 유형을 의미합니다.

최근에는 어베스트! V5 인터넷 시큐리티의 베타 테스트도 함께 진행되고 있는데, 설명서의 내용 중에 제품의 로드맵이 나타나있어서 소개합니다.

어베스트!의 다음 버전에서는 다음과 같이 3가지의 형태로 공급됩니다.

• 어베스트! 프리 안티바이러스 - 기존 어베스트! 홈 에디션과 동일하며, 개인에 한해 무료로 사용할 수 있습니다.
• 어베스트! 프로 안티바이러스 - 기존 어베스트! 프로페셔널 에디션과 동일하며, 평가판은 30일간 제공되며, 그 이후에는 구매하셔야 사용하실 수 있습니다.
• 어베스트! 인터넷 시큐리티 - 새롭게 추가된 제품으로, 상용 제품입니다.

제품 별로 제공되는 기능은 다음과 같습니다.

	어베스트! 프리 안티바이러스 5.0	어베스트! 프로  안티바이러스 5.0	어베스트! 인터넷 시큐리티 5.0
고성능 안티바이러스 엔진	예	예	예
안티-루트킷	예	예	예
안티스파이웨어	예	예	예
스크립트 쉴드(프로바이더)	아니오	예	예
프로세스 가상화	아니오	예	예
명령행 검사기	아니오	예	예
안티-스팸	아니오	아니오	예
방화벽	아니오	아니오	예

참고로, 어베스트! V5 버전은 2010년 1월 초로 예정되어 있다고 합니다. 하지만, 위의 내용뿐만 아니라 출시 일정은 사정상 변경될 수 있다는 점을 유의하시기 바랍니다.

감사합니다.

지난 4월에는 바이러스 평가 기관으로 유명한 AV-TEST에서 윈도우 XP/비스타 운영 체제를 바탕으로 루트킷의 진단 및 치료에 대한 테스트 결과가 웹사이트에 공개되었습니다. 간단하게 정리해서 올려 봅니다.

최초로 PC에 바이러스가 출현한 때를 회상(!)해 보면, 파일/부트 바이러스가 다수였으며 일부 메모리 상주 바이러스 등 그 전파 방법이라든지 파괴(공격) 수법이 간단하였습니다. 하지만, 최근의 상황을 보면 다양한 공격 방법을 사용하고 시스템에 미치는 영향도 매우 다양합니다. 파일을 삭제, 변조하는 경우도 있지만 일부 공격에서는 사용자가 감염된 것을 알 수 없도록 은폐하는 기법까지 사용합니다. 또한, 이메일을 통해 감염되면서 다양한 방법으로 다른 사람에게 전파하는 경우도 있습니다.

루트킷에 대한 간략한 정의는 아래 링크를 참고하시기 바라며 본격적으로 테스트 결과를 살펴 보도록 하겠습니다.

참고자료: http://cafe.naver.com/malzero/15338 네이버 바이러스제로 시즌2 - 베스트 님.

1. 테스트 샘플 선정

   전체 60개의 루트킷 샘플을 준비하였으며 윈도우 XP를 기준으로 했다. 샘플에는 Sony에서 개발한 것으로 알려져 시끄러웠던 XCP/First4Internet과 독일 DVD 미스터 앤 미시즈 스미드에 사용된 Settec이 포함되어 있다. 또한 Agent, Delf, Dragonbot, Feebs, Fuzen, Graybird, Hacker Defender, Haxdoor, Hider, Hupigon, iBill, Kenfa, Klone, Madtol, Maslan, NsAnti, NT Illusion, NT Rootkit, Nuwar, Pakes, PC Client, QQPass, Rontokbro, Small, Tibs, Wpla, X-shadow 및 그 변종들도 포함되었다.

   참고로 윈도우 비스타에서는 위에서 언급한 샘플 중 6개만이 정상 동작하기 때문에 별도로 언급하지 않는다. 이 글의 하단에 있는 링크를 통해 참고하기 바란다.

2. 동작하지 않는 루트킷 탐지 테스트

   일반적으로 안티 바이러스 제품은 서명(Signature)을 이용하여 악성 프로그램을 진단한다. 이러한 방식으로 루트킷을 진단하는 것은 매우 중요한데, 이는 실시간 감시 기능에서 루트킷이 동작하여 설치되는 것을 예방할 수 있기 때문이다.

   테스트에는 수동 검사(On-demand scan)과 실시간 감시(realtime guard) 모두가 사용되었다. 만약 실시간 감시에서 다운로드하여 실행하는 루트킷을 진단하지 못하는 경우에는 치명적인 결과를 가져온다는 것은 쉽게 알 수 있는 사실이다.

   웹 기반의 스캐너는 보통 Active-X 컨트롤을 설치하여 이용하는 방식으로 웹에 접속하여 최신의 데이터베이스를 다운로드한 이후에 검사한다.

3. 진단 및 치료 성능 테스트

   이 테스트에 사용된 루트킷 샘플은 "실제로" 동작하는 루트킷으로 감염시에는 객체, 파일, 레지스트리 등을 변조하거나 숨기는 특징을 보이게 된다. 루트킷을 발견하여 치료하는 경우에는 이러한 변조된 상태를 원래대로 되돌리고 감염된 부분을 모두 제거하는지 알아 보는 테스트이다. 이 테스트를 위해서는 실시간 감시 기능을 끈 상태로 진행하였다.

4. 테스트 결과

1. 마무리

   실제 이 데이터를 보면서 100% 성능을 보장하리라 확신하는 유저는 없으리라 생각되지만, 루트킷에 대한 다양한 테스트 결과를 보면 어느 한 측면에서 우위를 점하더라도 다른 부분에서 취약한 경우가 많다. 자기가 사용하는 보안 제품과 더불어 함께 안티 루트킷 전문 프로그램을 현명하게 선택한다면 보다 나은 보안을 갖출 수 있다고 생각된다.

   자료: http://www.av-test.org/down/papers/2008-04_vb_rootkits.pdf

최근 어베스트!의 버전업에 눈길을 끌고 있는 회사가 있습니다. 바로 GMER로 어베스트! 안티 바이러스 제품의 안티 루트킷 모듈의 기술을 제공하는 회사입니다. 이 회사에서는 당연히 루트킷을 진단하고 치료할 수 있는 프로그램을 제공합니다. 일명 GMER!

GMER에서 검사할 수 있는 항목은 다음과 같습니다.

• 숨겨진 프로세스
• 숨겨진 쓰레드
• 숨겨진 모듈
  
• 숨겨진 서비스
• 숨겨진 파일
• 숨겨진 ADS(alternative Data Streams)
• 숨겨진 레지스트리
• SSDT 후킹 드라이버
• IDT 후킹 드라이버
• IRP 호출 후킹 드라이버
• 기타 후킹
  

또한, 다음과 같은 시스템 함수를 모니터링할 수 있습니다.

• 프로세스 생성
• 드라이버 로딩
• 라이브러리 로딩
• 파일 함수
• 레지스트리 항목
• TCP/IP 연결
  

GMER는 윈도우 NT, 2000, XP, 비스타에서 사용할 수 있습니다.

프로그램 다운로드: http://www.gmer.net/files.php

제작사 홈페이지:   http://www.gmer.net

국내 소개 자료: NTFAQ http://ntfaq.co.kr/4035

특히 GMER의 기술력 중의 하나는 바로 빠른 속도로 루트킷을 찾아 낸다는 점에 있습니다. 국내외 보안 회사에서는 보통 하나 이상의 안티루트킷 제품을 유/무료로 제공하는데 실제 비교해 보면 속도면에서 강점을 가집니다.

요즘 루트킷이 점차 세력을 뻗치고 있습니다. 안티 바이러스 백신은 한 두개만 있어도 충분히 커버가 되지만, 루트킷의 경우 적어도 3-4가지 이상은 사용해야만 안전을 보장 받을수 있습니다.

아래 표는 제가 사용하는 루트킷을 총정리해 둔 것입니다. 물론, 이 이외에도 안티루트킷이 있기는 하지만 회사의 지명도나 기술력을 감안하여 정리해 놓은 것입니다.

날짜와 버전은 틀릴 수 있으며 링크는 제품 링크와 다운로드 링크를 구분했습니다.

유용하게 사용하시기 바랍니다.

Anti-RootKit 프로그램 정리

프 로 그 램	날   짜	버전	링크
AVG Anti-Rootkit	2007-04-13	V1.1.0.42	http://free.grisoft.com/doc/5390/lng/us/tpl/v5#avg-anti-rootkit-free http://free.grisoft.com/softw/70free/setup/avgarkt-setup-1.1.0.42.exe
BitDefender RootkitUncover	2007-04-13	V1.0 Beta 2	http://beta.bitdefender.com/showmain.php http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_isecurity_v10-RC1.exe http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_antirootkit-BETA2.exe
F-Secure BlackLight	2007-04-13	V2.2.1061	http://www.f-secure.com/blacklight https://europe.f-secure.com/exclude/blacklight/fsbl.exe
HiJack This	2007-04-13	V1.99.1	http://www.tomcoyote.org/hijackthis/ http://tomcoyote.org/hjt/hjt199//hijackthis.zip?
Lavasoft ARIES Rootkit Remover			http://www.majorgeeks.com/Lavasoft_ARIES_Rootkit_Remover_d4912.html
Rootkit Hook Analyzer		V2	http://www.resplendence.com/hookanalyzer http://www.softpedia.com/get/Security/Security-Related/RootKit-Hook-Analyzer.shtml
Rootkit Revealer		V1.71	http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx http://download.sysinternals.com/Files/RootkitRevealer.zip
Sophos Anti-Rootkit		V1.2	http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html http://www.sophos.com/products/free-tools/sophos-anti-rootkit/eula http://www.sophos.com/support/cleaners/sarsfx.exe
Panda Anti-Rootit			http://www.pandasoftware.com/products/antirootkit/ http://acs.pandasoftware.com/marketing/promo/en/antirootkit.exe
McAfee Rootkit Detective		V1.0	http://vil.nai.com/vil/stinger/rkstinger.aspx http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

보안 벤더로 유명한 맥아피(www.McAfee.com)에서 루트킷을 진단 치료할 수 있는 루트킷 디텍티브 1.0(Rootkit Detective 1.0)을 무료로 공개합니다.

다운로드: http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

주요 특징은 다음과 같습니다.

• 프로세스, 파일, 레지스트리 등 숨겨져 있는 개체들을 진단할 수 있다.
• 시스템에서 실행 중인 모든 프로세스의 정보를 보여 준다.
• SSDT(System Service Descriptor Table) 후킹, 사용자/커널의 IAT/EAT(Import/Export Address Table) 후킹과 같은 다양한 후킹 정보를 보여 준다.
• 발견된 숨겨진 파일/레지시트리를 치료/삭제할 수 있다.
• 악성 코드가 실행 중인 프로세스를 종료시킬 수 있다.
• 사용자는 샘플을 관련 사이트에 접수할 수 있다.

사용할 수 있는 운영체제는 다음과 같습니다.

• WIndows XP 홈 SP2
• Windows XP 프로 SP2
• Windows 2000 SP4
• Windows 2000 서버
• Windows 2003 서버 SP1

다른 안티 루트킷 제품에 비해 운영체제면에서 서버급을 지원한다는 점에서 훨씬 강점을 가지고 있습니다.

아래 화면은 루트킷 디텍티브를 실행한 것입니다.

아래 화면은 Vanish라는 루트킷을 감지해 낸 것입니다.


그리고, 다음 사항을 주의해야 합니다.

• McAfee Entercept Products에 관계된 레지스트리 항목을 진단합니다.
• McAfee Antispyware Enterpise에 관계된 mfehidk.sys 파일을 후킹한 커널 서비스로 진단합니다.
• Windows 2000 SP4 환경에서 shim.dll을 가리키는 IAT/EAT 후킹을 진단합니다.
• Zone Alarm의 vsdatant.sys를 진단합니다.
• Go Back software가 설치된 시스템에서는 Goback2k.sys 파일을 후킹한 서비스로 진단합니다.
• F-Secure Internet Security Suite 2006이 설치된 시스템에서는 fsndis5.sys 파일을 후킹한 서비스로 진단합니다.
• Kaspersky Internet Security 2006이 설치된 시스템에서는 klif.sys 파일을 후킹한 서비스로 진단합니다.
• McAfee Desktop Firewall이 설치된 시스템에서는 FireTDS.sys 파일을 후킹한 서비스로 진단합니다.
• McAfee Host Intrusion Prevention이 설치된 시스템에서는 Hidsys.sys 파일을 후킹한 서비스로 진단합니다.
• VSE 제품이 설치된 시스템에서는 ZwCreateThread라는 서비스 이름을 진단합니다.
• 윈도우 2000 플랫폼에 Kaspersky Internet Security 2006이 설치된 경우에는 실행이 안됩니다.
• IAT/EAT와 SSDT 후킹으로 진단한 많은 사항들은 적합한 프로그램이 사용하는 경우도 있으니 주의해야 합니다.

감사합니다.

PS: 사용해본 결과 McAfee의 명성답게 확실히 검사하기 때문에 좀 느립니다. ㅎㅎ.

 

며칠 전에 방화벽 및 침입 탐지 시스템을 우회하여 침투가 가능한 새로운 루트킷이 출현했다. 이 루트킷은 다음의 레지스트리 키를 숨기기 위해 커널 함수를 후킹한다.

• ZwOpenKey
• ZwEnumerateKey

또한 다음의 파일들을 숨기기 위해 NTFS 파일 시스템 드라이버의 커널 루틴을 후킹한다.

• \FileSystem\Ntfs\IRP_MJ_CREATE
• \FileSystem\Ntfs\IRP_MJ_DIRECTORY_CONTROL

방화벽, IDS 시스템, 네트워크 스니퍼링 툴 등을 완벽하게 바이패스하기 위해 TCP/IP 네트워크 체인을 변경한다. 또한 윈도우 안전 모드에서도 동작하기 때문에 기존의 안전 모드에서 검사하여 찾아내는 방법은 무용지물이 된다.

이 루트킷은 최근의 경향대로 스팸을 발송하기 위해 주로 사용되며, 대략 10,000개 웹 사이트가 이미 해킹되어 설치된 것으로 알려져 있다. 

Srizbi 트로이 목마는 Trojan.Srizbi 드라이버(windbg48.sys)를 통해 루트킷으로 자신을 숨기고 스팸을 발송한다. 또한, 감염하려는 PC에 경쟁 루트킷이 설치되어 있는 경우 삭제를 시도하며 대표적인 목표는 nto256.sys와 wincom32.sys이다.

아래는 Iframes와 MPack을 사용하여 PC를 공격하는 유투브 동영상으로 시만텍이 제작한 것이다.

약 1년 전에, Joanna Rutkowska는 싱가포르에 위치한 IT 보안 기업의 은폐 기능이 들어 있는 악성 프로그램에 대한 보안 연구가로 '100% 진단이 불가능한' 악성코드를 생성할 수 있는 새로운 기술을 구축하였다고 밝혔다. 이 프로토타입은 윈도우 비스타 x64 시스템에서도 동작한다고 한다.

그는 운영 체제의 핵심 부분에서 완벽한 제어를 얻기 위해 AMD의 SVM/Pacifica virtualization 기술을 사용하였다고 하였으며 이를 블루필이라고 밝혔다.

블루필은 x64 기반의 시스템에서 윈도우 비스타에 있는 anti-rootkit policy change라는 핵심적인 기능을 효과적으로 우회한다. virtual machine rookit 아이디어는 새롭게 제시된 것은 아니었다. 마이크로소프트와 미시건 대학교 연구가들은 SubVirt라는 VM 기반의 루트킷을 만들어 냈는데, 이 루트킷은 대상 시스템에 보안 소프트웨어가 설치되어 있어도 진단이 불가능할 정도였다고 합니다.

Rutkowska는 "블루필의 강력함은 SVM 기술에 바탕"하고 있다고 개인 블로그인 Invisible Things에서 밝혔다. 그리고 가상 머신을 대상으로 작성된 진단 기술이 있다면 블루필을 진단할 수 있을 것이라고 합니다.

Rutkowska는 블루필 기술이 운영 체제의 버그를 바탕으로 작성된 것이 아니라고 강조했다고 합니다. "윈도우 비스타 x64에서 동작하는 프로토타입을 만들었는데 그 외 다른 운영체제에서 작동하는 프로그램을 만드는 것이 불가능하지는 않다"고 밝혔으며 심지어 x64 플랫폼에서 동작하는 Linux, BSD 에서도 가능할 것이라고 합니다.

PC도사 2007로 새롭게 재기한 악성코드 제거 프로그램 제작사인 PC도사랩에서 안티루트킷을 탐지하는 프로그램 베타 버전을 출시하였습니다.

아직 어떤 루트킷을 탐지하는 지에 대한 자세한 정보는 없지만, 루트킷 발견시 동일한 테스트를 하면 그 결과가 바로 나타나겠지요

Rootkits은 악의적인 프로그램을 사용자로부터 은폐,은닉을 하기위한 프로그램을 말합니다. 최근 스파이웨어,애드웨어 제작자들은 자신의 프로그램이 쉽게 제거되는것을 막기위해 Rootkit 기술을 사용하고 있습니다.
Rootkit 기술을 사용한 스파이웨어,애드웨는 자체보호기능(프로세스,파일 및 폴더 은폐)이 프로그래밍되어 있어 백신프로그램으로도 탐지 및 치료가 어렵습니다.
안티루트킷도사(BETA)는 Rootkit 기술을 사용하여 숨어있는 프로세스와 파일 및 폴더를 탐지하여 제거해주는 프로그램입니다.

 

* 베타버전에는 삭제기능을 지원하지 않습니다.

 

지속적인 연구개발을 통해 좋은 프로그램을 만들수 있도록 노력하는 PC도사랩이 되도록 하겠습니다.

홈페이지: http://pcdo4lab.com/productinfo_rkdo4.html