루트킷 탐지는 오늘날 어떻게 작동합니까?

대부분의 경우 위협으로 간주되는 컴퓨터 바이러스, 애드웨어, 스파이웨어 및 기타 악성 프로그램에 대해 잘 알고 있을 것입니다. 그러나 다른 형태 또는 종류의 맬웨어(루트킷)가 가장 위험할 수 있습니다. "위험하다"는 것은 악성 프로그램이 일으킬 수 있는 피해의 정도와 사용자가 이를 찾아 제거하는 데 어려움을 겪는 것을 의미합니다.

루트킷이란 무엇입니까?

루트킷은 권한이 없는 사용자에게 컴퓨터(또는 컴퓨터의 특정 응용 프로그램)에 대한 액세스 권한을 부여하도록 설계된 맬웨어 유형입니다. 루트킷은 특권 액세스를 유지하는 동안 숨겨져(눈에 띄지 않게) 유지되도록 프로그래밍됩니다. 루트킷이 컴퓨터 내부에 들어간 후에는 그 존재를 쉽게 가릴 수 있으며 사용자는 이를 알아차리지 못할 것입니다.

루트킷은 PC에 어떤 피해를 줍니까?

기본적으로 루트킷을 통해 사이버 범죄자는 컴퓨터를 제어할 수 있습니다. 이러한 강력한 악성 프로그램을 사용하면 PC가 무엇이든 하도록 강제할 수 있습니다. 그들은 귀하의 암호 및 기타 민감한 정보를 훔치고, 컴퓨터에서 실행되는 모든 활동이나 작업을 추적하고, 보안 프로그램을 비활성화할 수도 있습니다.

루트킷이 보안 애플리케이션을 가로채거나 다운시키는 놀라운 능력을 감안할 때, 일반적인 악성 프로그램보다 탐지하거나 대처하기가 매우 어렵습니다. 루트킷은 탐지를 피하고 상당한 피해를 입히면서 컴퓨터에 장기간 존재하거나 작동할 수 있습니다.

때때로 고급 루트킷이 작동 중일 때 사용자는 악성 프로그램을 제거하려는 경우 컴퓨터의 모든 항목을 삭제하고 처음부터 다시 시작하는 것 외에 선택의 여지가 없습니다.

모든 맬웨어가 루트킷입니까?

아니요. 맬웨어의 일부만 루트킷입니다. 다른 악성 프로그램과 비교할 때 루트킷은 설계 및 프로그래밍 측면에서 상당히 발전되어 있습니다. 루트킷은 일반적인 맬웨어보다 훨씬 더 많은 작업을 수행할 수 있습니다.

엄격한 기술 정의에 따르면 루트킷은 정확히 악성 프로그램의 한 형태나 유형이 아닙니다. 루트킷은 단순히 대상(일반적으로 특정 컴퓨터, 개인 또는 조직)에 맬웨어를 배포하는 데 사용되는 프로세스에 해당합니다. 당연히 루트킷은 사이버 공격이나 해킹에 관한 뉴스에 자주 등장하기 때문에 이 용어는 부정적인 의미를 내포하게 되었습니다.

공정하게 말하면 루트킷은 맬웨어와 매우 유사하게 실행됩니다. 그들은 피해자의 컴퓨터에 제한 없이 작동하는 것을 좋아합니다. 그들은 보호 유틸리티가 그들을 인식하거나 찾는 것을 원하지 않습니다. 그들은 일반적으로 대상 컴퓨터에서 물건을 훔치려고 합니다. 궁극적으로 루트킷은 위협입니다. 따라서 그들은 차단(처음부터 들어오는 것을 막기 위해)하거나 처리해야 합니다(이미 들어온 경우).

루트킷이 사용되거나 선택되는 이유는 무엇입니까?

공격자는 다양한 목적으로 루트킷을 사용하지만 대부분의 경우 악성코드의 은폐 기능을 개선하거나 확장하기 위해 루트킷을 사용합니다. 스텔스 기능이 향상되면 악성 프로그램이 네트워크에서 데이터를 빼내거나 제거하는 동안 컴퓨터에 배포된 악성 페이로드가 더 오랫동안 탐지되지 않을 수 있습니다.

루트킷은 권한이 없는 행위자(해커 또는 정부 관리)가 시스템에 대한 백도어 액세스를 얻을 수 있는 편리한 방법 또는 플랫폼을 제공한다는 점에서 매우 유용합니다. 루트킷은 일반적으로 컴퓨터가 다른 개인에 대한 비밀 로그인 액세스 권한을 부여하도록 로그인 메커니즘을 전복함으로써 여기에 설명된 목적을 달성합니다.

루트킷은 공격자가 제어권을 획득하고 장치를 특정 작업을 수행하는 도구로 사용할 수 있도록 컴퓨터를 손상시키거나 압도하기 위해 배포될 수도 있습니다. 예를 들어 해커는 루트킷이 있는 장치를 대상으로 하여 DDoS(분산 서비스 거부) 공격을 위한 봇으로 사용합니다. 이러한 시나리오에서 DDoS의 소스가 탐지 및 추적되면 실제 책임이 있는 컴퓨터(공격자)가 아닌 손상된 컴퓨터(피해자)로 이어집니다.

이러한 공격에 참여하는 손상된 컴퓨터를 일반적으로 좀비 컴퓨터라고 합니다. DDoS 공격은 공격자가 손상된 컴퓨터에서 수행하는 유일한 나쁜 작업이 아닙니다. 때때로 해커는 피해자의 컴퓨터를 사용하여 클릭 사기를 수행하거나 스팸을 배포합니다.

흥미롭게도 루트킷이 관리자나 일반 개인에 의해 좋은 목적으로 배포되는 시나리오가 있지만 그러한 예는 여전히 매우 드뭅니다. 우리는 공격을 탐지하거나 인식하기 위해 허니팟에서 루트킷을 실행하는 일부 IT 팀에 대한 보고서를 보았습니다. 이런 식으로 작업에 성공하면 에뮬레이션 기술과 보안 응용 프로그램을 향상시킬 수 있습니다. 또한 일부 지식을 습득하여 도난 방지 보호 장치를 개선하는 데 적용할 수 있습니다.

그럼에도 불구하고 루트킷을 처리해야 하는 경우 루트킷이 귀하(또는 귀하의 이익)에 대해 악용될 가능성이 있습니다. 따라서 해당 클래스에서 악성 프로그램을 탐지하는 방법과 이에 대해 자신(또는 컴퓨터)을 방어하는 방법을 배우는 것이 중요합니다.

루트킷의 유형

다양한 형태 또는 유형의 루트킷이 있습니다. 감염 모드와 컴퓨터에서 작동하는 수준에 따라 분류할 수 있습니다. 가장 일반적인 루트킷 유형은 다음과 같습니다.

1. 커널 모드 루트킷:

커널 모드 루트킷은 운영 체제의 커널에 맬웨어를 삽입하여 OS 기능이나 설정을 변경하도록 설계된 루트킷입니다. "커널"은 하드웨어와 응용 프로그램 간의 작업을 제어하거나 연결하는 운영 체제의 중앙 부분을 의미합니다.

공격자는 커널 모드 루트킷을 배포하는 것이 어렵다는 것을 알게 됩니다. 이러한 루트킷은 사용 중인 코드가 실패할 경우 시스템이 충돌하는 경향이 있기 때문입니다. 그러나 그들이 배포에 성공한다면 루트킷은 일반적으로 시스템 내에서 가장 높은 권한 수준을 소유하기 때문에 엄청난 피해를 줄 수 있습니다. 즉, 성공적인 커널 모드 루트킷을 사용하면 공격자가 피해자의 컴퓨터를 쉽게 탈 수 있습니다.

2. 사용자 모드 루트킷:

이 클래스의 루트킷은 일반 또는 일반 프로그램으로 작동하여 실행되는 것입니다. 애플리케이션이 실행되는 동일한 환경에서 작동하는 경향이 있습니다. 이러한 이유로 일부 보안 전문가는 이를 애플리케이션 루트킷이라고 합니다.

사용자 모드 루트킷은 (커널 모드 루트킷보다) 배포하기가 상대적으로 쉽지만 능력은 떨어집니다. 커널 루트킷보다 손상이 적습니다. 이론적으로 보안 응용 프로그램은 사용자 모드 루트킷을 처리하는 것이 더 쉽다는 것을 알게 되었습니다(루트킷의 다른 형식이나 클래스에 비해).

3. 부트킷(부트 루트킷):

부트킷은 마스터 부트 레코드를 감염시켜 일반 루트킷의 기능을 확장하거나 향상시키는 루트킷입니다. 시스템 시작 중에 활성화되는 작은 프로그램은 마스터 부트 레코드(때로는 MBR로 축약됨)를 구성합니다. 부트킷은 기본적으로 시스템을 공격하는 프로그램으로 일반 부트로더를 해킹된 버전으로 교체하는 역할을 합니다. 이러한 루트킷은 컴퓨터의 운영 체제가 시작되고 안정되기 전에도 활성화됩니다.

부트킷의 감염 모드가 주어지면 공격자는 시스템이 켜질 때(방어 재설정 후에도) 실행되도록 구성되어 있기 때문에 보다 지속적인 공격 형태로 부트킷을 사용할 수 있습니다. 또한 보안 응용 프로그램이나 IT 팀에서 위협에 대해 거의 검사하지 않는 위치인 시스템 메모리에서 활성 상태를 유지하는 경향이 있습니다.

4. 메모리 루트킷:

메모리 루트킷은 컴퓨터의 RAM(임시 메모리와 동일한 Random Access Memory의 약자) 내부에 숨기도록 설계된 루트킷 유형입니다. 이러한 루트킷(한 번 메모리 내부에 있음)은 백그라운드에서 유해한 작업을 실행하기 위해 작동합니다(사용자가 알지 못하는 상태에서).

다행히 메모리 루트킷은 수명이 짧은 경향이 있습니다. 세션 동안만 컴퓨터의 RAM에 있을 수 있습니다. PC를 재부팅하면 사라집니다. 적어도 이론상으로는 사라져야 합니다. 그럼에도 불구하고 일부 시나리오에서는 다시 시작 프로세스가 충분하지 않습니다. 사용자는 메모리 루트킷을 제거하기 위해 몇 가지 작업을 수행해야 할 수 있습니다.

5. 하드웨어 또는 펌웨어 루트킷:

하드웨어 또는 펌웨어 루트킷은 컴퓨터에 설치된 위치에서 이름을 얻습니다.

이러한 루트킷은 시스템의 펌웨어에 내장된 소프트웨어를 이용하는 것으로 알려져 있습니다. 펌웨어는 특정 하드웨어(또는 장치)에 대해 낮은 수준에서 제어 또는 명령을 제공하는 특수 프로그램 클래스를 나타냅니다. 예를 들어 랩톱에는 제조업체에서 로드한 펌웨어(일반적으로 BIOS)가 있습니다. 라우터에도 펌웨어가 있습니다.

펌웨어 루트킷은 라우터 및 드라이브와 같은 장치에 존재할 수 있기 때문에 매우 오랫동안 숨겨져 있을 수 있습니다. 이러한 하드웨어 장치는 코드 무결성을 거의 확인하거나 검사하지 않기 때문입니다(전혀 확인되는 경우에도). 해커가 루트킷으로 라우터나 드라이브를 감염시키면 장치를 통해 흐르는 데이터를 가로챌 수 있습니다.

루트킷으로부터 안전하게 지내는 방법(사용자를 위한 팁)

최고의 보안 프로그램도 여전히 루트킷과 맞서 싸우므로 루트킷이 컴퓨터에 처음 들어가는 것을 방지하기 위해 필요한 모든 조치를 취하는 것이 좋습니다. 안전하게 지내는 것은 그리 어렵지 않습니다.

최상의 보안 방법을 유지하면 컴퓨터가 루트킷에 감염될 가능성이 크게 줄어듭니다. 다음은 그 중 일부입니다.

1. 모든 업데이트 다운로드 및 설치:

업데이트를 무시할 여유가 없습니다. 예, 응용 프로그램 업데이트가 성가실 수 있고 운영 체제 빌드 업데이트가 방해가 될 수 있다는 것을 이해하지만 업데이트 없이는 할 수 없습니다. 프로그램과 OS를 업데이트하면 공격자가 루트킷을 컴퓨터에 주입하기 위해 이용하는 보안 허점이나 취약점에 대한 패치를 얻을 수 있습니다. 구멍과 취약점이 닫히면 PC가 더 좋습니다.

2. 피싱 이메일 조심:

피싱 이메일은 일반적으로 사기꾼이 사용자를 속여 개인 정보나 민감한 세부 정보(예: 로그인 세부 정보 또는 비밀번호)를 제공하도록 유도합니다. 그럼에도 불구하고 일부 피싱 이메일은 사용자가 일부 소프트웨어(일반적으로 악성이거나 유해함)를 다운로드하여 설치하도록 권장합니다.

이러한 이메일은 합법적인 발신자 또는 신뢰할 수 있는 개인이 보낸 것처럼 보일 수 있으므로 조심해야 합니다. 그들에게 응답하지 마십시오. 그 안에 있는 어떤 것(링크, 첨부 파일 등)도 클릭하지 마십시오.

3. 드라이브 바이 다운로드 및 의도하지 않은 설치에 주의하십시오.

여기에서 컴퓨터에 다운로드되는 항목에 주의를 기울이시기 바랍니다. 악성 프로그램을 설치하는 악성 파일이나 악성 애플리케이션을 원하지 않습니다. 일부 합법적인 응용 프로그램은 다른 프로그램(악성일 수 있음)과 함께 번들로 제공되기 때문에 설치하는 앱도 염두에 두어야 합니다.

이상적으로는 공식 페이지나 다운로드 센터에서 공식 버전의 프로그램만 받고, 설치 중에 올바른 선택을 하고, 모든 앱의 설치 프로세스에 주의를 기울여야 합니다.

4. 보호 유틸리티 설치:

루트킷이 컴퓨터 내부로 들어가는 경우 해당 항목은 컴퓨터에 있는 다른 악성 프로그램의 존재 또는 존재와 연결될 가능성이 높습니다. 좋은 바이러스 백신 또는 맬웨어 방지 응용 프로그램은 루트킷이 도입되거나 활성화되기 전에 원래 위협을 탐지할 가능성이 있습니다.

Auslogics Anti-Malware를 받을 수 있습니다. 좋은 보안 프로그램이 여전히 모든 형태의 위협에 대한 최선의 방어 수단이 되기 때문에 권장되는 응용 프로그램을 어느 정도 신뢰하는 것이 좋습니다.

루트킷을 감지하는 방법(및 조직 및 IT 관리자를 위한 몇 가지 팁)

루트킷을 탐지하고 제거할 수 있는 유틸리티는 거의 없습니다. 유능한 보안 응용 프로그램(이러한 악성 프로그램을 처리하는 것으로 알려져 있음)조차도 때때로 제대로 작동하지 않거나 어려움을 겪습니다. 루트킷 제거 실패는 멀웨어가 존재하고 커널 수준(커널 모드 루트킷)에서 작동할 때 더 일반적입니다.

때로는 시스템에 OS를 다시 설치하는 것이 루트킷을 제거할 수 있는 유일한 방법입니다. 펌웨어 루트킷을 다루는 경우 영향을 받는 장치 내부의 일부 하드웨어 부품을 교체하거나 특수 장비를 구입해야 할 수 있습니다.

최고의 루트킷 탐지 프로세스 중 하나는 사용자가 루트킷에 대한 최상위 스캔을 실행해야 합니다. "최상위 검사"란 감염된 시스템의 전원이 꺼진 상태에서 별도의 깨끗한 시스템에서 작동하는 검사를 의미합니다. 이론적으로 이러한 스캔은 공격자가 남긴 서명을 확인하기에 충분해야 하며 네트워크에서 일부 부정 행위를 식별하거나 인식할 수 있어야 합니다.

또한 메모리 덤프 분석을 사용하여 루트킷을 감지할 수 있습니다. 특히 작동하기 위해 시스템 메모리에 래치하는 부트킷이 관련되어 있다고 의심되는 경우에 그렇습니다. 일반 컴퓨터의 네트워크에 루트킷이 있는 경우 메모리 사용과 관련된 명령을 실행할 때 루트킷이 숨겨지지 않을 수 있으며 MSP(관리 서비스 공급자)는 악성 프로그램이 보내는 명령을 볼 수 있습니다. .

행동 분석은 때때로 루트킷을 탐지하거나 추적하는 데 사용되는 또 다른 신뢰할 수 있는 절차 또는 방법입니다. 여기서 시스템 메모리를 확인하거나 공격 서명을 관찰하여 루트킷을 직접 확인하는 대신 컴퓨터에서 루트킷 증상을 찾아야 합니다. 느린 작동 속도(정상보다 상당히 느림), 이상한 네트워크 트래픽(있어선 안 됨) 및 기타 일반적인 비정상적인 행동 패턴은 루트킷을 제거해야 합니다.

Manager Service Provider는 루트킷 감염의 영향을 처리하거나 완화하기 위해 고객 시스템에 특수 전략으로 PoLP(최소 권한 원칙)를 실제로 배포할 수 있습니다. PoLP를 사용하는 경우 시스템은 네트워크의 모든 모듈을 제한하도록 구성됩니다. 즉, 개별 모듈은 작업(특정 목적)에 필요한 정보와 리소스에만 액세스할 수 있습니다.

음, 제안된 설정은 네트워크 암 간의 보안을 강화합니다. 또한 권한이 없는 사용자가 네트워크 커널에 악성 소프트웨어를 설치하는 것을 충분히 차단하므로 루트킷이 침입하여 문제를 일으키는 것을 방지합니다.

다행히도 개발자가 운영 체제의 보안을 지속적으로 개선하고 있기 때문에 루트킷은 평균적으로 감소하고 있습니다(지난 몇 년 동안 급증한 다른 악성 프로그램의 양과 비교할 때). 엔드포인트 방어는 점점 더 강력해지고 있으며 더 많은 수의 CPU(또는 프로세서)가 내장 커널 보호 모드를 사용하도록 설계되고 있습니다. 그럼에도 불구하고 현재 루트킷은 여전히 ​​존재하며 발견되는 곳마다 식별, 종료 및 제거되어야 합니다.