안티 루트킷 프로그램 중의 하나인 XueTr이 v0.4 버전을 출시했습니다. 이 제품은 윈도우 2000, XP, 2003, Vista, 2008, Windows 7을 지원합니다. 다만, 일부 운영체제에서는 64비트를 지원하지 않을 수도 있습니다.



감사합니다.


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    컴퓨터에 감염되는 악성코드는 보통, 바이러스, 트로이목마, 웜, 스파이웨어 등으로 나눌 수 있다. 하지만, 루트킷은 위험한 악성코드임에도 불구하고 그 특성상 잘 탐지되지 않는 경우가 많다.

    바이러스와 같은 유형은 우리가 널리 사용하는 프로그램과 동일한 형태이기 때문에 탐지 및 치료(삭제)가 용이한 편이다. 루트킷은 커널 레벨에서 여러가지 조작을 통해 자신을 숨기기 때문에 찾아내기가 어렵다.

    이러한 루트킷을 탐지하기 위해서 다양한 루트킷 스캐너가 제공되고 있으며, 지금 소개할 자료는 무료 백신으로 유명한 어베스트!에서 제공하는 aswMBR이다.

    aswMBR은 TLD3, TLD4, MBRoot(Sinowal) 루트킷을 탐지하여 치료할 수 있는 명령행 프로그램이며, 아래 링크에서 다운로드할 수 있다.


    프로그램을 실행하고 Scan 버튼을 누르면 검사가 진행되고, 만약 루트킷이 발견되는 경우에는 Fix 버튼을 클릭한다.



    참고로, 어베스트!에서 제공되는 루트킷 탐지 기술은 독일 보안 기업인 GMER의 기술을 채택하고 있다.

    감사합니다.
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      해킹을 당했을 경우에 시스템을 분석할 때 요긴하게 사용하는 툴 중 하나입니다. 이와 비슷한 툴로는 IceSword가 있습니다.



      개발은 중국에서 이뤄진 것으로 보입니다.

      다운로드: http://www.xuetr.com/?p=25


      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        최근 어베스트!의 버전업에 눈길을 끌고 있는 회사가 있습니다. 바로 GMER로 어베스트! 안티 바이러스 제품의 안티 루트킷 모듈의 기술을 제공하는 회사입니다. 이 회사에서는 당연히 루트킷을 진단하고 치료할 수 있는 프로그램을 제공합니다. 일명 GMER!

        GMER에서 검사할 수 있는 항목은 다음과 같습니다.
        • 숨겨진 프로세스
        • 숨겨진 쓰레드
        • 숨겨진 모듈
        • 숨겨진 서비스
        • 숨겨진 파일
        • 숨겨진 ADS(alternative Data Streams)
        • 숨겨진 레지스트리
        • SSDT 후킹 드라이버
        • IDT 후킹 드라이버
        • IRP 호출 후킹 드라이버
        • 기타 후킹
        또한, 다음과 같은 시스템 함수를 모니터링할 수 있습니다.
        • 프로세스 생성
        • 드라이버 로딩
        • 라이브러리 로딩
        • 파일 함수
        • 레지스트리 항목
        • TCP/IP 연결

        GMER는 윈도우 NT, 2000, XP, 비스타에서 사용할 수 있습니다.
        사용자 삽입 이미지

        프로그램 다운로드: http://www.gmer.net/files.php

        제작사 홈페이지:   http://www.gmer.net

        국내 소개 자료: NTFAQ http://ntfaq.co.kr/4035

        특히 GMER의 기술력 중의 하나는 바로 빠른 속도로 루트킷을 찾아 낸다는 점에 있습니다. 국내외 보안 회사에서는 보통 하나 이상의 안티루트킷 제품을 유/무료로 제공하는데 실제 비교해 보면 속도면에서 강점을 가집니다.


        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          요즘 루트킷이 점차 세력을 뻗치고 있습니다. 안티 바이러스 백신은 한 두개만 있어도 충분히 커버가 되지만, 루트킷의 경우 적어도 3-4가지 이상은 사용해야만 안전을 보장 받을수 있습니다.

          아래 표는 제가 사용하는 루트킷을 총정리해 둔 것입니다. 물론, 이 이외에도 안티루트킷이 있기는 하지만 회사의 지명도나 기술력을 감안하여 정리해 놓은 것입니다.

          날짜와 버전은 틀릴 수 있으며 링크는 제품 링크와 다운로드 링크를 구분했습니다.

          유용하게 사용하시기 바랍니다.


          Anti-RootKit 프로그램 정리

          프 로 그 램

             

          버전

          링크

          AVG

          Anti-Rootkit

          2007-04-13

          V1.1.0.42

          http://free.grisoft.com/doc/5390/lng/us/tpl/v5#avg-anti-rootkit-free

          http://free.grisoft.com/softw/70free/setup/avgarkt-setup-1.1.0.42.exe

          BitDefender

          RootkitUncover

          2007-04-13

          V1.0 Beta 2

          http://beta.bitdefender.com/showmain.php

          http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_isecurity_v10-RC1.exe

          http://download.bitdefender.com/windows/desktop/internet_security/beta/bitdefender_antirootkit-BETA2.exe

          F-Secure

          BlackLight

          2007-04-13

          V2.2.1061

          http://www.f-secure.com/blacklight

          https://europe.f-secure.com/exclude/blacklight/fsbl.exe

          HiJack This

          2007-04-13

          V1.99.1

          http://www.tomcoyote.org/hijackthis/

          http://tomcoyote.org/hjt/hjt199//hijackthis.zip?

          Lavasoft

          ARIES Rootkit Remover

           

           

           

          http://www.majorgeeks.com/Lavasoft_ARIES_Rootkit_Remover_d4912.html

          Rootkit Hook Analyzer

           

          V2

          http://www.resplendence.com/hookanalyzer

          http://www.softpedia.com/get/Security/Security-Related/RootKit-Hook-Analyzer.shtml

          Rootkit Revealer

           

          V1.71

          http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

          http://download.sysinternals.com/Files/RootkitRevealer.zip

          Sophos

          Anti-Rootkit

           

          V1.2

          http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html

          http://www.sophos.com/products/free-tools/sophos-anti-rootkit/eula

          http://www.sophos.com/support/cleaners/sarsfx.exe

          Panda Anti-Rootit

           

           

          http://www.pandasoftware.com/products/antirootkit/

          http://acs.pandasoftware.com/marketing/promo/en/antirootkit.exe

          McAfee

          Rootkit Detective

           

          V1.0

          http://vil.nai.com/vil/stinger/rkstinger.aspx

          http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            보안 벤더로 유명한 맥아피(www.McAfee.com)에서 루트킷을 진단 치료할 수 있는 루트킷 디텍티브 1.0(Rootkit Detective 1.0)을 무료로 공개합니다.

            다운로드: http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

            주요 특징은 다음과 같습니다.
            • 프로세스, 파일, 레지스트리 등 숨겨져 있는 개체들을 진단할 수 있다.
            • 시스템에서 실행 중인 모든 프로세스의 정보를 보여 준다.
            • SSDT(System Service Descriptor Table) 후킹, 사용자/커널의 IAT/EAT(Import/Export Address Table) 후킹과 같은 다양한 후킹 정보를 보여 준다.
            • 발견된 숨겨진 파일/레지시트리를 치료/삭제할 수 있다.
            • 악성 코드가 실행 중인 프로세스를 종료시킬 수 있다.
            • 사용자는 샘플을 관련 사이트에 접수할 수 있다.

            사용할 수 있는 운영체제는 다음과 같습니다.

            • WIndows XP 홈 SP2
            • Windows XP 프로 SP2
            • Windows 2000 SP4
            • Windows 2000 서버
            • Windows 2003 서버 SP1

            다른 안티 루트킷 제품에 비해 운영체제면에서 서버급을 지원한다는 점에서 훨씬 강점을 가지고 있습니다.

            아래 화면은 루트킷 디텍티브를 실행한 것입니다.

            사용자 삽입 이미지

            아래 화면은 Vanish라는 루트킷을 감지해 낸 것입니다.
            사용자 삽입 이미지


            그리고, 다음 사항을 주의해야 합니다.

            • McAfee Entercept Products에 관계된 레지스트리 항목을 진단합니다.
            • McAfee Antispyware Enterpise에 관계된 mfehidk.sys 파일을 후킹한 커널 서비스로 진단합니다.
            • Windows 2000 SP4 환경에서 shim.dll을 가리키는 IAT/EAT 후킹을 진단합니다.
            • Zone Alarm의 vsdatant.sys를 진단합니다.
            • Go Back software가 설치된 시스템에서는 Goback2k.sys 파일을 후킹한 서비스로 진단합니다.
            • F-Secure Internet Security Suite 2006이 설치된 시스템에서는 fsndis5.sys 파일을 후킹한 서비스로 진단합니다.
            • Kaspersky Internet Security 2006이 설치된 시스템에서는 klif.sys 파일을 후킹한 서비스로 진단합니다.
            • McAfee Desktop Firewall이 설치된 시스템에서는 FireTDS.sys 파일을 후킹한 서비스로 진단합니다.
            • McAfee Host Intrusion Prevention이 설치된 시스템에서는 Hidsys.sys 파일을 후킹한 서비스로 진단합니다.
            • VSE 제품이 설치된 시스템에서는 ZwCreateThread라는 서비스 이름을 진단합니다.
            • 윈도우 2000 플랫폼에 Kaspersky Internet Security 2006이 설치된 경우에는 실행이 안됩니다.
            • IAT/EAT와 SSDT 후킹으로 진단한 많은 사항들은 적합한 프로그램이 사용하는 경우도 있으니 주의해야 합니다.

            감사합니다.

            PS: 사용해본 결과 McAfee의 명성답게 확실히 검사하기 때문에 좀 느립니다. ㅎㅎ.


             


            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              며칠 전에 방화벽 및 침입 탐지 시스템을 우회하여 침투가 가능한 새로운 루트킷이 출현했다. 이 루트킷은 다음의 레지스트리 키를 숨기기 위해 커널 함수를 후킹한다.
              • ZwOpenKey
              • ZwEnumerateKey

              또한 다음의 파일들을 숨기기 위해 NTFS 파일 시스템 드라이버의 커널 루틴을 후킹한다.
              • \FileSystem\Ntfs\IRP_MJ_CREATE
              • \FileSystem\Ntfs\IRP_MJ_DIRECTORY_CONTROL

              방화벽, IDS 시스템, 네트워크 스니퍼링 툴 등을 완벽하게 바이패스하기 위해 TCP/IP 네트워크 체인을 변경한다. 또한 윈도우 안전 모드에서도 동작하기 때문에 기존의 안전 모드에서 검사하여 찾아내는 방법은 무용지물이 된다.

              이 루트킷은 최근의 경향대로 스팸을 발송하기 위해 주로 사용되며, 대략 10,000개 웹 사이트가 이미 해킹되어 설치된 것으로 알려져 있다. 

              Srizbi 트로이 목마는 Trojan.Srizbi 드라이버(windbg48.sys)를 통해 루트킷으로 자신을 숨기고 스팸을 발송한다. 또한, 감염하려는 PC에 경쟁 루트킷이 설치되어 있는 경우 삭제를 시도하며 대표적인 목표는 nto256.syswincom32.sys이다.

              아래는 IframesMPack을 사용하여 PC를 공격하는 유투브 동영상으로 시만텍이 제작한 것이다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                약 1년 전에, Joanna Rutkowska는 싱가포르에 위치한 IT 보안 기업의 은폐 기능이 들어 있는 악성 프로그램에 대한 보안 연구가로 '100% 진단이 불가능한' 악성코드를 생성할 수 있는 새로운 기술을 구축하였다고 밝혔다. 이 프로토타입은 윈도우 비스타 x64 시스템에서도 동작한다고 한다.

                그는 운영 체제의 핵심 부분에서 완벽한 제어를 얻기 위해 AMD의 SVM/Pacifica virtualization 기술을 사용하였다고 하였으며 이를 블루필이라고 밝혔다.

                블루필은 x64 기반의 시스템에서 윈도우 비스타에 있는 anti-rootkit policy change라는 핵심적인 기능을 효과적으로 우회한다. virtual machine rookit 아이디어는 새롭게 제시된 것은 아니었다. 마이크로소프트와 미시건 대학교 연구가들은 SubVirt라는 VM 기반의 루트킷을 만들어 냈는데, 이 루트킷은 대상 시스템에 보안 소프트웨어가 설치되어 있어도 진단이 불가능할 정도였다고 합니다.

                Rutkowska는 "블루필의 강력함은 SVM 기술에 바탕"하고 있다고 개인 블로그인 Invisible Things에서 밝혔다. 그리고 가상 머신을 대상으로 작성된 진단 기술이 있다면 블루필을 진단할 수 있을 것이라고 합니다.

                Rutkowska는 블루필 기술이 운영 체제의 버그를 바탕으로 작성된 것이 아니라고 강조했다고 합니다. "윈도우 비스타 x64에서 동작하는 프로토타입을 만들었는데 그 외 다른 운영체제에서 작동하는 프로그램을 만드는 것이 불가능하지는 않다"고 밝혔으며 심지어 x64 플랫폼에서 동작하는 Linux, BSD 에서도 가능할 것이라고 합니다.

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  PC도사 2007로 새롭게 재기한 악성코드 제거 프로그램 제작사인 PC도사랩에서 안티루트킷을 탐지하는 프로그램 베타 버전을 출시하였습니다.

                  아직 어떤 루트킷을 탐지하는 지에 대한 자세한 정보는 없지만, 루트킷 발견시 동일한 테스트를 하면 그 결과가 바로 나타나겠지요

                  Rootkits은 악의적인 프로그램을 사용자로부터 은폐,은닉을 하기위한 프로그램을 말합니다. 최근 스파이웨어,애드웨어 제작자들은 자신의 프로그램이 쉽게 제거되는것을 막기위해 Rootkit 기술을 사용하고 있습니다.
                  Rootkit 기술을 사용한 스파이웨어,애드웨는 자체보호기능(프로세스,파일 및 폴더 은폐)이 프로그래밍되어 있어 백신프로그램으로도 탐지 및 치료가 어렵습니다.
                  안티루트킷도사(BETA)는 Rootkit 기술을 사용하여 숨어있는 프로세스와 파일 및 폴더를 탐지하여 제거해주는 프로그램입니다.

                   
                  * 베타버전에는 삭제기능을 지원하지 않습니다.
                   
                  지속적인 연구개발을 통해 좋은 프로그램을 만들수 있도록 노력하는 PC도사랩이 되도록 하겠습니다.


                  홈페이지: http://pcdo4lab.com/productinfo_rkdo4.html

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    백신업체로 유명한 판다에서 루트킷 프로그램을 진단 치료할 수 있는 Panda Anti-Rootkit을 출시하였습니다. 특징은 다음과 같습니다.

                    • 숨겨진 드라이버
                    • 숨겨진 프로세스
                    • 숨겨진 모듈
                    • 숨겨진 파일
                    • 숨겨진 레지스트리 항목
                    • SDT 변경 사항
                    • EAT 후크
                    • IDT 변경 사항
                    • 비표준 INT2E
                    • 비표준 SYSENTER
                    • IRP 후크
                    • 기타 등등
                    사용방법은 아주 간단합니다. 아래의 링크에서 다운로드하여 실행하면 그래픽 인터페이스로 손쉽게 진행할 수 있습니다.

                    1. 프로그램을 다운로드하여 실행합니다.(프로그램을 실행하기 전에, 다른 프로그램은 모두 종료하는 것이 좋습니다)

                    2. 프로그램이 최신 버전인지 확인합니다.
                    사용자 삽입 이미지


                    3.  최신 버전이 있는 경우에는 다운로드를 받습니다.
                    사용자 삽입 이미지

                    4. 모두 다운로드 받고, 저장하여 정상적으로 실행되면, 다음 그림과 같이 Start Scan을 클릭하면 검사가 진행됩니다.
                    사용자 삽입 이미지

                    5.  검사가 진행되는 상황입니다.
                    사용자 삽입 이미지

                    6. 발견된 루트킷은 Remove Rootkits 버튼을 눌러 삭제합니다.
                    사용자 삽입 이미지

                    출처: http://research.pandasoftware.com/blogs/research/archive/2007/04/02/Panda-AntiRootkit-Released.aspx
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory