'MebRoot'에 해당되는 글 1건

  1. 2008.03.04 MBR 루트킷, 최신 악성 프로그램의 출현 (1)

2008년도 보안 업계의 한 획을 장식할만한 새로운 악성 프로그램이 출현한 것으로 알려지고 있습니다. 아직 널리 알려져 있지 않기에 일부 자료에 대해 번역하여 정리해 봤습니다.

MBR(Master Boot Record)는 하드 디스크의 첫번째 섹터 영역으로 운영체제가 부팅하기 위해 필요한 가장 핵심적인 코드인 부트 코드가 저장됩니다.

즉, MBR보다 먼저 실행할 수 있는 코드는 없습니다. 물론 ROM-BIOS는 제외. MBR 바이러스는 약 15년 이상 전인 DOS 시절에 아주 재미를 봤던 일반적인 바이러스 형태입니다.

이제 새로운 윈도우 형태의 MBR 루트킷이 출현하면서 기존 악성 프로그램이 레지스트리나 파일을 변조, 생성, 삽입하는 방법을 사용하지 않고서도 충분히 공격할 수 있게 되었습니다.

보안 전문가에 따르면 'Mebroot'이라고 알려진 MBR 루트킷은 꽤 고급 기술로 제작되었다고 합니다. 이 루트킷은 시스템의 변조를 최소화하여 그만큼 탐지가 어려우며 감염된 시스템에서는 보다 탐지가 힘들다고 합ㄴ다.

MBR 루트킷의 스텔스 특징에 대해 잠시 언급해 보면,

  • 'ntoskrnl.exe' 모듈은 커널모드 다운로드 페에로드를 INIT 섹션에 있는 nt!Phase1Initialization 함수로 설정하도록 실행하여 후킹합니다. 즉, INIT 섹션에서 시스템이 초기화된 이후에는 메모리를 삭제하고 더 이상 후킹의 흔적을 찾지 못하게 합니다.
  • 루트킷은 파일 대신에 물리적 섹터로 리부팅하는데 필요한 데이터를 저장합니다. 즉, 실제 페이로드를 포함하는 데이터 영역은 보이지는 않지만 일반 프로그램에서 액세스할 수 있는 수단을 제공합니다. 따라서, 루트킷은 필요한 데이터를 숨기는 인터페이스를 후킹할 필요가 없습니다.
  • MBR은 루트킷 프로그램의 시작점입니다. 따라서 루트킷을 실행하기 위해 기존의 실행 파일이나 레지스트리를 수정하거나 변조할 필요가 없습니다. 즉, 오직 필요한 것은 변조한 MBR을 숨기고 보호하는데 사용할 후킹입니다. 정확히 말하면 루트킷은 disk.sys 드라이버 객체의 4바이트(2 DWORD) 문자만을 후킹합니다.
  • MBR 루트킷의 또다른 흥미로운 점은 아직 널리 알려져 있지 않고 있다는 점입니다. 그 이유중의 하나는 Mebroot의 코드가 난해하고 어려워서 코드를 분석하는데 시간이 많이 소요된다는 점입니다.

루트킷의 주요 목적은 다수의 다운로드를 다운로드받도록 동작하는 것입니다. 루트킷은 들키지 않고 효과적으로 동작하기 위해 개인용 방화벽이 차단하거나 알아채지 못하게 하는 것이 필수적입니다. 이는 물리적 하드웨어 바로 위에 있는 NDIS 계층의 하단부에서 동작함으로 인해 가능합니다.

루트킷은 동작을 위해 수정되지 않은 자체의 NDIS API 함수를 이용합니다. 이는 Rustock과 Srizbi와 같은 일부 악성 프로그램에서도 이미 사용된 바 있습니다. 하지만, MBR 루트킷은 이른바 'code pullout'이라는 기술을 사용하여 ndis.sys 드라이버 전체를 로드하지 않고 ndis.sys 드라이버에서 필요한 부분만을 로드하여 이용합니다.

즉, 루트킷이 실행되는 동안 메모리에 일정한 패턴이 나타나는데 그 크기가 매우 작아지고 모듈 또한 시스템 주소 영역에 추가로 로드될 필요가 없어 감식이 어렵습니다

이 루트킷은 전문적인 지식을 가지고 제작되어 배포되었습니다. 2007년 12월에 초기 샘플이 출현하였으며 2008년 1월에 베타 코드가 나왔습니다. 이제 이 루트킷은 다양한 경로 사용자들에게 침투할 것으로 예상됩니다.

익스플로잇 코드를 운용하는 사이트에서는 보통 다음의 익스플로잇을 이용합니다.

  • Microsoft Data Access Components(DAC) Function vulnerability(MS06-014)
  • AOL SupperBuddy ActiveX control Code Execution vulnerability(CVE-2006-5820)
  • Online Media Technologies NCTsoft NCTAudioFile2 ActiveX Buffer Overflow(CVE-2007-0018)
  • GOM Player "GomWeb3" ActiveX Control Buffer Overflow(CVE-2007-5779)
  • Microsoft Internet Explorer WebViewFolderIcon setSlice(CVE-2006-3730)
  • Yahoo! JukeBox datagrid.dll AddButton() Buffer Overflow
  • DirectAnimation PathControl KeyFrame vulnerablility(CVE-2006-4777)
  • Microsoft DirectSpeechSynthesis Modeul Remote Buffer Overflow

익스플로잇의 실제적인 작동 코드 2개는 지난 달에 이미 널리 공개된 상태입니다. 다운로드된 페이로드드은 온라인 뱅킹이나 인터넷 쇼핑몰을 겨냥하고 있는 것이 명백합니다.

출처: http://www.cxotoday.com/India/News/MBR_Rootkit_A_New_Breed_of_Malware/551-87316-909.html

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory