루트킷(Rootkit)은 시스템의 루트 권한을 얻는 도구(Kit)이다. 초기에는 이미 장악한 시스템에서 해커가 다시 Root권한을 손쉽게 얻기위해 심어놓은 백도어를 지칭했지만, 점차 보안 프로그램이나 OS로부터 악성코드를 보호하고 은닉하기 위해 제작된 프로그램을 지칭하게 됐다.
1) 1세대 루트킷
1세대 루트킷은 운영체제의 커널이나 시스템 프로그램을 바꿔치기 하는 방법을 이용해 시스템 접근을 용이하도록 만드는 프로그램들이다. 이와 같은 형태의 루트킷은 파일의 무결성 검증을 통해 방어가 가능하다.
2) 2세대 루트킷
2세대 루트킷은 무결성 검증을 우회하기위해 메모리 공간에 로드된 코드를 수정하는 방법을 사용한다. 해당 방법을 통해 코드 뿐만 아니라 서비스 처리코드, 하드웨어 인터럽트 처리 코드, MSR 레지스터에 저장된 값을 변경하는 악성행위를 수행한다.
(참고 : https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=19122)
3) 3세대 루트킷
3세대 루트킷은 로드된 메모리영역을 비교하는 검증을 우회하기 위해 운영체제가 동적으로 활용하는 영역을 변조하는 기법이다. Jamie Butler가 발표한 DKOM(Direct Kernel Object Manipulation)을 통해 발전했는데, DKOM은 메모리상에 생성되어 있는 커널 오브젝트를 직접 수정하는 기법이다.
(참고 : https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?cmd=print&seq=19271&menu_dist=2)
#분석 특징
#분석 주요 포인트
'Rev > Info' 카테고리의 다른 글
| Find Windows OS (ASLR) (0) | 2022.02.21 |
|---|---|
| [Malware] Agent Tesla (0) | 2021.12.30 |
| [Malware] Formbook (0) | 2021.12.27 |
| [Excel] Very hidden Sheet VBA Macro (0) | 2021.12.27 |
| IDA Plugin 개발 - 1 (0) | 2021.06.24 |
