악성코드 제작자가 고민하는 주제 중의 하나가 바로, 백신에 탐지되지 않고 어떻게 잘 실행될 수 있도록 숨기는 방법이다. 가장 널리 쓰이는 방법은 루트킷과 같이 커널 드라이버로 위장하는 방법이 있는데, 이를 위해서는 고난이도의 개발 능력이 수반되어야 한다

 

따라서, 손쉽게 이용하는 방법이 바로 정상적으로 프로세스 내에 숨기는 방법으로 보통 RAT(Remote Admin. Tool)에서 주로 사용한다.

 

이 방법은, 윈도우의 정상적으로 프로세스 하나를 쩜 찍어서, 새로운 인스턴스로 휴면 상태로 실행시킨 후에 코드의 실행 위치를 악성코드의 위치로 바꿔치기 하는 방법이다.

 

 

 

해외에 이러한 숨김 기법에 대한 강좌가 있어 소개한다.

 

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    안티 루트킷 프로그램 중의 하나인 XueTr이 v0.4 버전을 출시했습니다. 이 제품은 윈도우 2000, XP, 2003, Vista, 2008, Windows 7을 지원합니다. 다만, 일부 운영체제에서는 64비트를 지원하지 않을 수도 있습니다.



    감사합니다.


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      바이러스, 악성코드, 웜, 스팸 등등 우리가 사용하는 컴퓨터에서는 다양한 유해 사범(!)들이 안전을 무력화하기 위해 노력하고 있습니다.

      이 중에서 가장 난해한 기술이기도 하면서, 가장 치명적인 영향을 미치는 유해 사범이 바로 루트킷(RootKit)입니다. 루트킷에 대한 자세한 글은 생략하며, 최근 많은 관심을 갖게 되는 가상화에서 루트킷에 대한 염려에 대한 글은 아래 링크를 참고하십시오.


      이러한 루트킷은 윈도우 XP 64비트가 출현한 이래 아직까지 64비트 환경에서 동작하지 못하는 상태였는데, 이제 64비트에서 정상적으로 동작할 만큼 기술적인 축척이 이뤄진 것으로 보입니다. 물론, 32비트는 이미 예전에 정복된 것입니다.

      64비트 루트킷은 브라질에서 처음 발견되었으며, 자바 런타임 환경(JRE)의 취약점을 이용하도록 설계되었습니다. 만약, 자바 보안 패치가 적용되지 않는 컴퓨터에서는 웹사이트에 접속하자마자 악성코드 즉 루트킷이 컴퓨터에 자동으로 설치되고, 그 이후에 은행 접속 정보와 같은 계정 정보를 빼내도록 되어 있습니다.

      64비트 루트킷을 분석한 자료는 아래 링크를 참고하십시오.


      이제 공격자들은 가공할 무기를 하나 더 확보한 셈이되며, PC 즉 희생자는 한층 더 늘어날 것으로 예상됩니다.

      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        컴퓨터에 감염되는 악성코드는 보통, 바이러스, 트로이목마, 웜, 스파이웨어 등으로 나눌 수 있다. 하지만, 루트킷은 위험한 악성코드임에도 불구하고 그 특성상 잘 탐지되지 않는 경우가 많다.

        바이러스와 같은 유형은 우리가 널리 사용하는 프로그램과 동일한 형태이기 때문에 탐지 및 치료(삭제)가 용이한 편이다. 루트킷은 커널 레벨에서 여러가지 조작을 통해 자신을 숨기기 때문에 찾아내기가 어렵다.

        이러한 루트킷을 탐지하기 위해서 다양한 루트킷 스캐너가 제공되고 있으며, 지금 소개할 자료는 무료 백신으로 유명한 어베스트!에서 제공하는 aswMBR이다.

        aswMBR은 TLD3, TLD4, MBRoot(Sinowal) 루트킷을 탐지하여 치료할 수 있는 명령행 프로그램이며, 아래 링크에서 다운로드할 수 있다.


        프로그램을 실행하고 Scan 버튼을 누르면 검사가 진행되고, 만약 루트킷이 발견되는 경우에는 Fix 버튼을 클릭한다.



        참고로, 어베스트!에서 제공되는 루트킷 탐지 기술은 독일 보안 기업인 GMER의 기술을 채택하고 있다.

        감사합니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          악성 프로그램 중의 하나인 Alureon 루트킷이 드디어 64비트 운영체제에서 동작하는 사례가 발표되어 이를 정리해 봤습니다.


          윈도우 XP 시절부터 윈도우 비스타/7까지 개인용 운영체제에는 32비트와 64비트가 나눠져 있습니다.

          일반적인 프로그램에서는 그리 큰 문제가 되지 않겠지만, 안티 바이러스(백신)와 같이 시스템에 매우 밀접한 관계를 맺고 있는 프로그램은 호환성 측면에서 제대로 64비트에 대응하지 못하여 온 것이 사실입니다.

          실제로 국내 무료 안티바이러스를 보자면, V3 Lite 제품이 64비트를 지원하기 시작한 때는 2010년 3월 24일이며, 알약의 경우에는 아직 지원되지 않고 있습니다. 참고로, 편법으로 알약을 설치하는 방법이 인터넷 상에서 널리 알려져 있지만, 이 글을 읽으시는 분들은 절대 그렇게 설치하지 않도록 주의하십시오.

          반대로 악성 프로그램(바이러스, Malware)의 입장에서도 기존 32비트 운영체제에서는 숙달된 프로그래밍 실력, 경험을 바탕으로 다양한 악성 프로그램을 배포해 왔습니다. 악성 프로그램에는 스파이웨어, 바이러스, 웜 등 다양한 형태가 있습니다만 특히, 악성 프로그램 중에서 가장 어려운 기법에 속하는 루트킷(rootkit)에서는 64비트 운영체제에서 제대로된 공격을 하지 못했습니다.

          이번에 발견된 Alureon 루트킷의 변종은 쉽게 발견된 것이 아니라, 여러가지 단계를 거쳐 마이크로소프트가 분석 및 치료를 해 오는 과정에서 나온 결과여서 더욱더 충격적이지 않을 수 없습니다.

          최초에 발견된 Alureon 루트킷은 2010년 2월 초에 있었던 정기 보안 업데이트 시에 블루스크린을 보여주는 사례로 부터 시작되었습니다. 이를 조사하던 중에 나온 악성 프로그램이 바로 Alureon 입니다.

          윈도우 업데이트 후 블루스크린 발생. 원인은 루트킷으로 밝혀져
          http://moonslab.com/834

          이후 마이크로소프트는 Alureon 루트킷의 변종이 출현함에 따라 이를 진단하여 치료하는 작업을 진행했으며 지난 5월까지 매우 성공적인 결과를 얻을 수 있었습니다.


          아래 표는 감염된 PC의 운영체제를 기준으로 나눈 것으로 윈도우 XP가 주된 목표였다는 것을 알 수 있습니다.


          출처: http://blogs.technet.com/b/mmpc/archive/2010/05/21/msrt-may-threat-reports-and-alureon.aspx


          하지만, 최근 조사에 따르면 기존 Alureon이 드라이버를 감염시키는 방식이었지만, MBR(Master Boot Record)에 감염시키는 새로운 형태의 변종이 출현했다는 사실을 밝혀냈습니다. 실제 64비트 운영체제에 영향을 미치지는 않지만, 가상 파일시스템의 일부분인 ldr64라는 파일에 삽입됩니다.

          게다가, 변종의 새로운 형태는 윈도우 비스타/7 64비트 시스템을 감염시킬 수 있다는 사실도 알려졌습니다. 참고로, 윈도우 XP, 윈도우 서버 2003 64비트에서는 시스템이 부팅되지 않도록 손상시킵니다.

          64비트 윈도우 운영체제에서는 시스템에 관련된 중요한 파일을 보호하고 변조하지 못하게 하는 다양한 기술이 적용되어 있으며 이중 대표적인 부분이 바로 파일 서명과 PatchGuard입니다. 만약 커널에 관련된 파일을 변경하려고 시도할 경우에는 이를 예방하게 됩니다.

          하지만, 이러한 기술이 실행되기 전에 부팅 과정 중에 감염시키는 방법이 성공하게 되면 서명되지 않은 드라이버를 정상적으로 삽입하여 실행할 수 있게 되고, 이러는 과정으로 감염이 이뤄지게 됩니다.

          PatchGuard를 우회하는 기법은 아래 자료를 참고하십시오.

          Bypassing PatchGuard on Windows x64
          http://www.uninformed.org/?v=3&a=3&t=pdf


          문제는 루트킷을 찾아내는 방법이 그리 수월치 않다는 점입니다. 루트킷이 동작하게 되면 커널 상에서 동작하게 되므로 안티바이러스와 같이 진단 프로그램에서 찾아내기가 매우 어렵습니다. Alureon 루트킷의 경우에는 아래의 방법을 통해 사용자가 직접 루트킷에 감염되어 있는지 확인할 수 있습니다.


          즉, 디스크 관리에서 루트킷의 설치된 경우에는 윈도우의 시스템 드라이브와 같은 설치된 파티션이 제대로 보이지 않게 됩니다.


          마이크로소프트는 이러한 문제점을 해결하기 위한 방안을 아직까지 제시하지 못하고 있습니다. 다만, 동사가 제공하는 MSE(Microsoft Essentials), 포어프론트 클라이언트 시큐리티, 포어프론트 서버 시큐리티, TMG 등에서 Alureon 루트킷을 진단 및 삭제할 수 있다고 밝히고 있습니다.

          그리고, 시만텍에 따르면 Backdoor.Tidserv.L 이라는 악성 프로그램은 32비트와 64비트에서 모두 동작한다고 합니다. 즉, 운영체제를 감지하여 적절한 방식으로 감염을 시키는 것입니다.

          이러한 사례를 통해 볼 때, 64비트 운영체제도 이제 악성 프로그램의 손아귀로 들어갈 날이 얼마 남지 않은 것으로 예상됩니다.

          감사합니다.



          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            바이러스토탈(http://www.virustotal.com)은 파일(또는 URL)에 악성 프로그램이 포함되어 있는지 진단해 주는 사이트로, 다양한 안티바이러스 엔진에서 순차적으로 검사를 진행합니다.

            따라서, 최신 악성 프로그램의 경우에는 한두가지 제품에서만 (초기에) 진단하는 경우가 많으므로, 다양한 백신의 분석을 검토하여 악성 여부를 사용자가 가늠할 수 있습니다.

            바이러스토탈에는 어베스트! 엔진이 4와 5두가지로 나눠서 제공됩니다. 악성 프로그램을 보통 검사해 보면 거의 대부분 동일한 진단을 하게 되지만, 다음과 같은 진단명은 어베스트! V5 버전에서만 볼 수 있습니다.

            • Win32:Packed - 실행 압축(SFX) 형식으로 감염된 파일
            • Win32:SuspBehav - 의심스러운 행동을 하는 파일

            어베스트! V4 엔진의 가장 큰 오진의 원인은 바로 실행 압축(executable archive)을 악성 프로그램으로 진단하는 것이었습니다. 그 이유는 일반적으로 악성 프로그램이 분석을 막기 위해 프로그램의 헤더를 압축하고, 헤더값을 일부 변조하여 압축을 해제할 수 없게 하는 경우가 많았기 때문입니다. 어베스트! V5에서는 이러한 문제를 해결하기 위해 추가적인 기능을 채택하였습니다.

            Win32:SuspBehav는 어베스트! V5에 포함된 루트킷 탐지 기술과 가상화(sandbox)를 통해 진단하는 경우에 나타날 수 있으며, 어베스트! V4에서는 이 진단명이 존재하지 않습니다.

            감사합니다.

             






            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              지난 2월 10일 경에 마이크로소프트의 정기 보안 업데이트가 발표되었습니다. 일반적으로 자동 업데이트로 설정되어 있으므로, 하루 이틀 사이에 업데이트를 컴퓨터에 다운로드하여 설치하게 됩니다.

              이번에 발표된 보안 패치 가운데 MS10-015를 설치하고 나서 재부팅을 하고 나면 공포의 블루스크린 현상이 발생하는 것으로 알려져 있습니다. 

              마이크로소프트의 보안 대응 센터의 블로그에 따르면, 이러한 블루스크린 현상에 대한 소식을 접하고 실제 고객의 컴퓨터를 조사한 결과 Alureon 이라는 루트킷에 감염되어서 발생한 것이라고 밝혔습니다.

              Alureon 루트킷은 윈도우의 커널 라이브러리를 변조하기 때문이며, 아래와 같이 XP 환경에서 실제 Alureon 루트킷을 감염시키는 테스트를 통해 확인했습니다.

              Phase

              Actions

              Result on Test Machines

              Debug Phase 1

              • Install Supported Versions of Windows XP
              • Install all previous updates to bring the Windows Kernel prior to the version updated by MS10-015 to version 5.1.2600.5857.
              • Install the Alureon Root Kit.
              • Install MS10-015 / KB977165 Kernel Version 5.1.2600.5913

              The system enters a repeated reboot / blue screen

              Debug Phase 2

              • Install Supported Versions of Windows XP
              • Install all previous updates to bring the Windows Kernel to version 5.1.2600.5857
              • Install all previous updates to bring the Windows Kernel to Current Version prior to the version updated by MS10-015.
              • Install the Alureon Root Kit.

              Successful boot

              Debug Phase 3

              • Install Windows XP SP3
              • Install all previous updates to bring the Windows Kernel to version 5.1.2600.5857
              • Install  the MS10-015 security update the Kernel version to version 5.1.2600.5913
              • Install the Alureon Root Kit.

              Successful boot

              Debug Phase 4

              • Install Supported Versions of Windows XP
              • Install all previous updates to bring the Windows Kernel to version 5.1.2600.5857
              • Install MS10-015 to bring the Windows Kernel to version 5.1.2600.5913
              • Install the Alureon Root Kit.
              • Uninstall KB977165 setting the Kernel to version 5.1.2600.5857

              The machine goes into a rolling reboot

               

              따라서, 이번 윈도우 업데이트를 진행하고 나서 재부팅 후에 블루스크린이 발생하는 경우에는 루트킷을 의심하고 안티바이러스 제품을 설치하여 제거해야 합니다.

              출처: http://blogs.technet.com/msrc/archive/2010/02/17/update-restart-issues-after-installing-ms10-015-and-the-alureon-rootkit.aspx


              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus

                MBR(Master Boot Record)에 은닉 기술을 이용하여 기생하는 Sinowal 악성 코드에 대한 새로운 변종(Backdoor.Win32.Sinowal)이 발견되어 이에 대한 정보가 공개되었습니다.

                Sinowal 악성코드는 2008년도에 이미 초기 버전과 변형 버전에 대한 자료가 발표되었습니다.
                • http://www.viruslist.com/en/analysis?pubid=204792002
                • http://www.viruslist.com/en/analysis?pubid=204792044

                2009년 3월 말 경에 발견된 Sinowal의 최신 변형 버전은 하드 디스크의 MBR 영역을 감염시키면서 감염 자체를 숨기는 루트킷 기술을 탑재하고 있습니다. 최신 변형 버전은 보안 전문가에게 충격을 주고 있는데 기존 버전과는 달리 감염여부를 보안 제품이 진단하지 못하도록 보다 시스템 내부에 숨깁니다. 특히 은닉(Stealth) 기술은 운영체제의 최하위 수준의 디바이스 객체를 후킹하는 것으로 사이버 범죄에서 이렇게 복잡한 기술을 사용한 첫번째 사례입니다.

                물론 Backdoor.Win32.Sinowal이 처음 출현했을 때에는 이 악성코드를 치료하는 안티 바이러스 제품이 없었으며 심지어 진단 자체도 거의 불가능하였습니다. 일단 Backdoor.Win32.Sinowal 악성코드가 시스템에서 루트킷을 동작한 후에는 사용자의 데이터와 기타 계정 정보를 훔치기 위해 설계된 일련의 활동을 벌이게 됩니다.

                Backdoor.Win32.Sinowal 악성코드는 Neosploit  취약점을 이용하는 것으로 수많은 악성 사이트를 통해 광범위하게 퍼뜨려지고 있습니다. 특히, 악성 PDF 문서를 사용자 모르게 다운로드할 수 있는 아크로뱃 리더의 취약점을 이용하여 시스템을 감염시킵니다.

                이 악성코드에 감염되지 않기 위해서는 아래의 링크에서 아크로뱃 리더의 패치 버전을 반드시 설치해야 합니다.

                http://www.adobe.com/support/security/bulletins/apsb09-04.html

                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  지난 4월에는 바이러스 평가 기관으로 유명한 AV-TEST에서 윈도우 XP/비스타 운영 체제를 바탕으로 루트킷의 진단 및 치료에 대한 테스트 결과가 웹사이트에 공개되었습니다. 간단하게 정리해서 올려 봅니다.

                  최초로 PC에 바이러스가 출현한 때를 회상(!)해 보면, 파일/부트 바이러스가 다수였으며 일부 메모리 상주 바이러스 등 그 전파 방법이라든지 파괴(공격) 수법이 간단하였습니다. 하지만, 최근의 상황을 보면 다양한 공격 방법을 사용하고 시스템에 미치는 영향도 매우 다양합니다. 파일을 삭제, 변조하는 경우도 있지만 일부 공격에서는 사용자가 감염된 것을 알 수 없도록 은폐하는 기법까지 사용합니다. 또한, 이메일을 통해 감염되면서 다양한 방법으로 다른 사람에게 전파하는 경우도 있습니다.

                  루트킷에 대한 간략한 정의는 아래 링크를 참고하시기 바라며 본격적으로 테스트 결과를 살펴 보도록 하겠습니다.

                  참고자료: http://cafe.naver.com/malzero/15338 네이버 바이러스제로 시즌2 - 베스트 님.

                  1. 테스트 샘플 선정

                    전체 60개의 루트킷 샘플을 준비하였으며 윈도우 XP를 기준으로 했다. 샘플에는 Sony에서 개발한 것으로 알려져 시끄러웠던 XCP/First4Internet과 독일 DVD 미스터 앤 미시즈 스미드에 사용된 Settec이 포함되어 있다. 또한 Agent, Delf, Dragonbot, Feebs, Fuzen, Graybird, Hacker Defender, Haxdoor, Hider, Hupigon, iBill, Kenfa, Klone, Madtol, Maslan, NsAnti, NT Illusion, NT Rootkit, Nuwar, Pakes, PC Client, QQPass, Rontokbro, Small, Tibs, Wpla, X-shadow 및 그 변종들도 포함되었다.

                    참고로 윈도우 비스타에서는 위에서 언급한 샘플 중 6개만이 정상 동작하기 때문에 별도로 언급하지 않는다. 이 글의 하단에 있는 링크를 통해 참고하기 바란다.

                  2. 동작하지 않는 루트킷 탐지 테스트

                    일반적으로 안티 바이러스 제품은 서명(Signature)을 이용하여 악성 프로그램을 진단한다. 이러한 방식으로 루트킷을 진단하는 것은 매우 중요한데, 이는 실시간 감시 기능에서 루트킷이 동작하여 설치되는 것을 예방할 수 있기 때문이다.

                    테스트에는 수동 검사(On-demand scan)과 실시간 감시(realtime guard) 모두가 사용되었다. 만약 실시간 감시에서 다운로드하여 실행하는 루트킷을 진단하지 못하는 경우에는 치명적인 결과를 가져온다는 것은 쉽게 알 수 있는 사실이다.

                    웹 기반의 스캐너는 보통 Active-X 컨트롤을 설치하여 이용하는 방식으로 웹에 접속하여 최신의 데이터베이스를 다운로드한 이후에 검사한다.

                  3. 진단 및 치료 성능 테스트

                    이 테스트에 사용된 루트킷 샘플은 "실제로" 동작하는 루트킷으로 감염시에는 객체, 파일, 레지스트리 등을 변조하거나 숨기는 특징을 보이게 된다. 루트킷을 발견하여 치료하는 경우에는 이러한 변조된 상태를 원래대로 되돌리고 감염된 부분을 모두 제거하는지 알아 보는 테스트이다. 이 테스트를 위해서는 실시간 감시 기능을 끈 상태로 진행하였다.

                  4. 테스트 결과

                  제품 이름

                  버전

                  동작하지 않는 루트킷 진단

                  동작하는 루트킷 진단

                  루트킷이 숨긴 악성프로그램 진단

                  동작하지 않는 루트킷 제거

                  동작하는 루트킷 제거

                  루트킷이 숨긴 악성프로그램 제거

                    

                  샘플 개수

                  30

                  30

                  30

                  27

                  30

                  30

                  인터넷 보안 제품

                    

                    

                    

                    

                    

                    

                    

                  Avira AntiVir Premium Security Suite

                  7.06.00.168

                  28

                  29

                  30

                  25

                  7

                  7

                  BitDefender Internet Security Suite 2008

                  11.0.13

                  30

                  28

                  29

                  27

                  23

                  27

                  Bullguard Internet Security Suite

                  7.0.0.27

                  30

                  7

                  10

                  27

                  4

                  0

                  G-DATA Internet Security Suite 2008

                  18.0.7227.533

                  30

                  9

                  4

                  27

                  7

                  0

                  Kaspersky Internet Security 7.0

                  7.0.0.119

                  28

                  24

                  28

                  25

                  22

                  25

                  Kaspersky Personal Security Suite V

                  6.0.2.621

                  28

                  21

                  27

                  25

                  19

                  17

                  Norton Internet Security 2008

                  15.0.0.60

                  25

                  18

                  25

                  25

                  18

                  25

                  웹 기반 스캐너

                    

                    

                    

                    

                    

                    

                    

                  BitDefender Online Scanner

                  1.0.2422

                  30

                  5

                  3

                  27

                  2

                  0

                  F-Secure Online Virus Scanner

                  3.2b(1.0.64)

                  24

                  27

                  26

                  24

                  23

                  23

                  Kaspersky Online Scanner

                  5.0.98.1

                  28

                  6

                  21

                  25

                  0

                  0

                  Microsoft Windows Live Safety Scanner

                  1.1.3007.0

                  20

                  17

                  25

                  19

                  10

                  8

                  Panda Security ActiveScan

                  5.54.01

                  28

                  25

                  26

                  27

                  15

                  26

                  Trend Micro HouseCall

                  6.6(1103-1060)

                  27

                  8

                  5

                  27

                  7

                  1

                  안티 루트킷 프로그램

                    

                    

                    

                    

                    

                    

                    

                  AVG Anti-Rootkit Free

                  1.1.0.42

                  n/a

                  30

                  29

                  n/a

                  26

                  27

                  Avira Rootkit Detection

                  1.0.1.17b

                  n/a

                  28

                  30

                  n/a

                  23

                  28

                  BitDefender Rootkit Uncover

                  1.0b2

                  n/a

                  24

                  28

                  n/a

                  16

                  12

                  F-Secure Blacklight

                  2.2.1064.0b

                  n/a

                  28

                  28

                  n/a

                  20

                  27

                  GMER

                  1.0.13.12551

                  n/a

                  30

                  28

                  n/a

                  19

                  26

                  IceSword

                  1.2.2.0

                  n/a

                  25

                  26

                  n/a

                  10

                  6

                  McAfee Rootkit Detective

                  1.1.0.0

                  n/a

                  26

                  29

                  n/a

                  21

                  28

                  Microsoft Rootkit Revealer

                  1.71.0.0

                  n/a

                  15

                  14

                  n/a

                  n/a

                  n/a

                  Panda Security Anti-Rootkit

                  1.07.00

                  n/a

                  24

                  28

                  n/a

                  22

                  27

                  Rootkit Unhooker LE

                  3.7.300.509

                  n/a

                  30

                  30

                  n/a

                  22

                  28

                  Safe'n'Sec Pro

                  3.0.0.4104

                  n/a

                  18

                  9

                  n/a

                  7

                  3

                  Sophos Anti-Rootkit

                  1.3.1(1.07)

                  n/a

                  26

                  26

                  n/a

                  17

                  24

                  System Virginity Verifier

                  2.3

                  n/a

                  15

                  3

                  n/a

                  10

                  3

                  Trend Micro Rootkit Buster

                  1.6b

                  n/a

                  30

                  29

                  n/a

                  20

                  24

                  1. 마무리

                    실제 이 데이터를 보면서 100% 성능을 보장하리라 확신하는 유저는 없으리라 생각되지만, 루트킷에 대한 다양한 테스트 결과를 보면 어느 한 측면에서 우위를 점하더라도 다른 부분에서 취약한 경우가 많다. 자기가 사용하는 보안 제품과 더불어 함께 안티 루트킷 전문 프로그램을 현명하게 선택한다면 보다 나은 보안을 갖출 수 있다고 생각된다.

                    자료: http://www.av-test.org/down/papers/2008-04_vb_rootkits.pdf

                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus
                    마이크로소프트는 최근의 보안 경향에 대응하기 위해 루트 킷 탐지 기술을 보유한 업체인 코모쿠 사를 합병하였습니다. 이러한 결과 차후에 개발되는 보안 제품(포어프론트, 라이브 원케어 등등)에는 루트킷 탐지가 가능해지리라 유추가 가능할 것입니다.

                    코모쿠는 주로 가정용 제품의 보안 부분과 국방성과 같은 기관을 고객으로 하고 있으며 마이크로소프트의 안티 말웨어의 라인업을 좀더 강화할 것입니다.

                    이 회사는 2004년도에 DARPA(Defense Advanced Research Projects Agency)가 설립하었으며 자본금은 250만달러입니다. 코모쿠의 기술력은 다양한 운영체제에서 시스템의 이상 현상을 감지하여 루트킷을 찾아내고, 증거를 수집합니다.
                    reTweet
                    Posted by 문스랩닷컴
                    blog comments powered by Disqus


                      Web Analytics Blogs Directory