며칠 전에 방화벽 및 침입 탐지 시스템을 우회하여 침투가 가능한 새로운 루트킷이 출현했다. 이 루트킷은 다음의 레지스트리 키를 숨기기 위해 커널 함수를 후킹한다.
  • ZwOpenKey
  • ZwEnumerateKey

또한 다음의 파일들을 숨기기 위해 NTFS 파일 시스템 드라이버의 커널 루틴을 후킹한다.
  • \FileSystem\Ntfs\IRP_MJ_CREATE
  • \FileSystem\Ntfs\IRP_MJ_DIRECTORY_CONTROL

방화벽, IDS 시스템, 네트워크 스니퍼링 툴 등을 완벽하게 바이패스하기 위해 TCP/IP 네트워크 체인을 변경한다. 또한 윈도우 안전 모드에서도 동작하기 때문에 기존의 안전 모드에서 검사하여 찾아내는 방법은 무용지물이 된다.

이 루트킷은 최근의 경향대로 스팸을 발송하기 위해 주로 사용되며, 대략 10,000개 웹 사이트가 이미 해킹되어 설치된 것으로 알려져 있다. 

Srizbi 트로이 목마는 Trojan.Srizbi 드라이버(windbg48.sys)를 통해 루트킷으로 자신을 숨기고 스팸을 발송한다. 또한, 감염하려는 PC에 경쟁 루트킷이 설치되어 있는 경우 삭제를 시도하며 대표적인 목표는 nto256.syswincom32.sys이다.

아래는 IframesMPack을 사용하여 PC를 공격하는 유투브 동영상으로 시만텍이 제작한 것이다.

reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory