악성 프로그램 중의 하나인 Alureon 루트킷이 드디어 64비트 운영체제에서 동작하는 사례가 발표되어 이를 정리해 봤습니다.


윈도우 XP 시절부터 윈도우 비스타/7까지 개인용 운영체제에는 32비트와 64비트가 나눠져 있습니다.

일반적인 프로그램에서는 그리 큰 문제가 되지 않겠지만, 안티 바이러스(백신)와 같이 시스템에 매우 밀접한 관계를 맺고 있는 프로그램은 호환성 측면에서 제대로 64비트에 대응하지 못하여 온 것이 사실입니다.

실제로 국내 무료 안티바이러스를 보자면, V3 Lite 제품이 64비트를 지원하기 시작한 때는 2010년 3월 24일이며, 알약의 경우에는 아직 지원되지 않고 있습니다. 참고로, 편법으로 알약을 설치하는 방법이 인터넷 상에서 널리 알려져 있지만, 이 글을 읽으시는 분들은 절대 그렇게 설치하지 않도록 주의하십시오.

반대로 악성 프로그램(바이러스, Malware)의 입장에서도 기존 32비트 운영체제에서는 숙달된 프로그래밍 실력, 경험을 바탕으로 다양한 악성 프로그램을 배포해 왔습니다. 악성 프로그램에는 스파이웨어, 바이러스, 웜 등 다양한 형태가 있습니다만 특히, 악성 프로그램 중에서 가장 어려운 기법에 속하는 루트킷(rootkit)에서는 64비트 운영체제에서 제대로된 공격을 하지 못했습니다.

이번에 발견된 Alureon 루트킷의 변종은 쉽게 발견된 것이 아니라, 여러가지 단계를 거쳐 마이크로소프트가 분석 및 치료를 해 오는 과정에서 나온 결과여서 더욱더 충격적이지 않을 수 없습니다.

최초에 발견된 Alureon 루트킷은 2010년 2월 초에 있었던 정기 보안 업데이트 시에 블루스크린을 보여주는 사례로 부터 시작되었습니다. 이를 조사하던 중에 나온 악성 프로그램이 바로 Alureon 입니다.

윈도우 업데이트 후 블루스크린 발생. 원인은 루트킷으로 밝혀져
http://moonslab.com/834

이후 마이크로소프트는 Alureon 루트킷의 변종이 출현함에 따라 이를 진단하여 치료하는 작업을 진행했으며 지난 5월까지 매우 성공적인 결과를 얻을 수 있었습니다.


아래 표는 감염된 PC의 운영체제를 기준으로 나눈 것으로 윈도우 XP가 주된 목표였다는 것을 알 수 있습니다.


출처: http://blogs.technet.com/b/mmpc/archive/2010/05/21/msrt-may-threat-reports-and-alureon.aspx


하지만, 최근 조사에 따르면 기존 Alureon이 드라이버를 감염시키는 방식이었지만, MBR(Master Boot Record)에 감염시키는 새로운 형태의 변종이 출현했다는 사실을 밝혀냈습니다. 실제 64비트 운영체제에 영향을 미치지는 않지만, 가상 파일시스템의 일부분인 ldr64라는 파일에 삽입됩니다.

게다가, 변종의 새로운 형태는 윈도우 비스타/7 64비트 시스템을 감염시킬 수 있다는 사실도 알려졌습니다. 참고로, 윈도우 XP, 윈도우 서버 2003 64비트에서는 시스템이 부팅되지 않도록 손상시킵니다.

64비트 윈도우 운영체제에서는 시스템에 관련된 중요한 파일을 보호하고 변조하지 못하게 하는 다양한 기술이 적용되어 있으며 이중 대표적인 부분이 바로 파일 서명과 PatchGuard입니다. 만약 커널에 관련된 파일을 변경하려고 시도할 경우에는 이를 예방하게 됩니다.

하지만, 이러한 기술이 실행되기 전에 부팅 과정 중에 감염시키는 방법이 성공하게 되면 서명되지 않은 드라이버를 정상적으로 삽입하여 실행할 수 있게 되고, 이러는 과정으로 감염이 이뤄지게 됩니다.

PatchGuard를 우회하는 기법은 아래 자료를 참고하십시오.

Bypassing PatchGuard on Windows x64
http://www.uninformed.org/?v=3&a=3&t=pdf


문제는 루트킷을 찾아내는 방법이 그리 수월치 않다는 점입니다. 루트킷이 동작하게 되면 커널 상에서 동작하게 되므로 안티바이러스와 같이 진단 프로그램에서 찾아내기가 매우 어렵습니다. Alureon 루트킷의 경우에는 아래의 방법을 통해 사용자가 직접 루트킷에 감염되어 있는지 확인할 수 있습니다.


즉, 디스크 관리에서 루트킷의 설치된 경우에는 윈도우의 시스템 드라이브와 같은 설치된 파티션이 제대로 보이지 않게 됩니다.


마이크로소프트는 이러한 문제점을 해결하기 위한 방안을 아직까지 제시하지 못하고 있습니다. 다만, 동사가 제공하는 MSE(Microsoft Essentials), 포어프론트 클라이언트 시큐리티, 포어프론트 서버 시큐리티, TMG 등에서 Alureon 루트킷을 진단 및 삭제할 수 있다고 밝히고 있습니다.

그리고, 시만텍에 따르면 Backdoor.Tidserv.L 이라는 악성 프로그램은 32비트와 64비트에서 모두 동작한다고 합니다. 즉, 운영체제를 감지하여 적절한 방식으로 감염을 시키는 것입니다.

이러한 사례를 통해 볼 때, 64비트 운영체제도 이제 악성 프로그램의 손아귀로 들어갈 날이 얼마 남지 않은 것으로 예상됩니다.

감사합니다.



reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    지난 2월 10일 경에 마이크로소프트의 정기 보안 업데이트가 발표되었습니다. 일반적으로 자동 업데이트로 설정되어 있으므로, 하루 이틀 사이에 업데이트를 컴퓨터에 다운로드하여 설치하게 됩니다.

    이번에 발표된 보안 패치 가운데 MS10-015를 설치하고 나서 재부팅을 하고 나면 공포의 블루스크린 현상이 발생하는 것으로 알려져 있습니다. 

    마이크로소프트의 보안 대응 센터의 블로그에 따르면, 이러한 블루스크린 현상에 대한 소식을 접하고 실제 고객의 컴퓨터를 조사한 결과 Alureon 이라는 루트킷에 감염되어서 발생한 것이라고 밝혔습니다.

    Alureon 루트킷은 윈도우의 커널 라이브러리를 변조하기 때문이며, 아래와 같이 XP 환경에서 실제 Alureon 루트킷을 감염시키는 테스트를 통해 확인했습니다.

    Phase

    Actions

    Result on Test Machines

    Debug Phase 1

    • Install Supported Versions of Windows XP
    • Install all previous updates to bring the Windows Kernel prior to the version updated by MS10-015 to version 5.1.2600.5857.
    • Install the Alureon Root Kit.
    • Install MS10-015 / KB977165 Kernel Version 5.1.2600.5913

    The system enters a repeated reboot / blue screen

    Debug Phase 2

    • Install Supported Versions of Windows XP
    • Install all previous updates to bring the Windows Kernel to version 5.1.2600.5857
    • Install all previous updates to bring the Windows Kernel to Current Version prior to the version updated by MS10-015.
    • Install the Alureon Root Kit.

    Successful boot

    Debug Phase 3

    • Install Windows XP SP3
    • Install all previous updates to bring the Windows Kernel to version 5.1.2600.5857
    • Install  the MS10-015 security update the Kernel version to version 5.1.2600.5913
    • Install the Alureon Root Kit.

    Successful boot

    Debug Phase 4

    • Install Supported Versions of Windows XP
    • Install all previous updates to bring the Windows Kernel to version 5.1.2600.5857
    • Install MS10-015 to bring the Windows Kernel to version 5.1.2600.5913
    • Install the Alureon Root Kit.
    • Uninstall KB977165 setting the Kernel to version 5.1.2600.5857

    The machine goes into a rolling reboot

     

    따라서, 이번 윈도우 업데이트를 진행하고 나서 재부팅 후에 블루스크린이 발생하는 경우에는 루트킷을 의심하고 안티바이러스 제품을 설치하여 제거해야 합니다.

    출처: http://blogs.technet.com/msrc/archive/2010/02/17/update-restart-issues-after-installing-ms10-015-and-the-alureon-rootkit.aspx


    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      Web Analytics Blogs Directory