직접 커널 객체 조작

3. 작동 원리

DKOM을 사용하는 루트킷은 객체 관리자나 작업 관리자에서 자신을 숨긴다. 이는 모든 활성화된 스레드 및 프로세스 목록을 포함하는 연결 리스트를 수정하여 객체 관리자로부터 모든 흔적을 숨기는 방식으로 이뤄진다.^[6]

시스템 커널이 실행 중인 모든 프로세스 목록을 찾을 때 EPROCESS에 의존하지만, 윈도우 커널은 프로세스가 아닌 스레드 기반이므로 연결 리스트의 포인터는 부작용 없이 수정될 수 있다. 루트킷은 프로세스 자신을 감싸는 연결 리스트 포인터를 수정하여 윈도우 이벤트 뷰어 및 이 목록에 의존하는 시스템 무결성 애플리케이션에서 보이지 않게 된다. 이를 통해 DKOM 루트킷은 대상 시스템을 자유롭게 제어할 수 있다.^[1]

DKOM은 다음과 같은 작업에 사용될 수 있다:^[2]

• 프로세스, 드라이버, 포트 숨기기
• 스레드와 프로세스의 권한 상승
• 포렌식 우회
• 시스템에 대한 완전한 제어

3. 1. EPROCESS 조작

3. 2. 권한 상승

4. 탐지 및 대응

DKOM 루트킷은 커널 메모리를 직접 조작하기 때문에 탐지가 매우 어렵다. 일반적인 안티 바이러스 프로그램은 사용자 레벨에서 동작하므로 커널 레벨에서 이루어지는 조작을 탐지하기 어렵다.

DKOM을 사용하는 루트킷은 객체 관리자 또는 작업 관리자에서 자신을 숨긴다. 모든 활성 스레드 및 프로세스 목록을 포함하는 연결 리스트를 수정하여, 포인터를 루트킷 자신으로부터 멀리 감싸서 객체 관리자로부터 숨긴다.^[6] 커널 모듈과 로드 가능한 장치 드라이버는 특권 접근 권한을 통해 커널 메모리에 직접 접근할 수 있기 때문이다. 시스템 커널이 시스템에서 실행 중인 모든 프로세스 목록을 찾기 위해 EPROCESS에 의존한다. 윈도우 커널은 프로세스 기반이 아닌 스레드 기반이기 때문에, 포인터는 의도하지 않은 영향 없이 수정될 수 있다.^[1] 연결 리스트 포인터를 수정하여 루트킷 프로세스 자체를 우회함으로써, 루트킷은 윈도우 이벤트 뷰어 및 이 목록에 의존하는 모든 시스템 무결성 응용 프로그램에 보이지 않게 된다.

하지만 라운드 로빈 정책으로 인해 스레드가 활성 상태이므로 프로세스는 무기한으로 실행된다.^[2] 윈도우 스케줄러에서 스레드는 프로세스가 아닌 작업을 수행하도록 분리된다. 스레드는 주어진 시간 프레임 동안 여러 프로세스를 호출한다. 이 프로세스는 스케줄러의 라운드 로빈 특성에 의해 제어되며 다른 스레드가 활성화되도록 스레드가 유휴 상태로 설정된다. 프로세스가 작업 관리자에서 보이지 않게 되더라도 스레드가 활성 상태이므로 프로세스는 시스템과 동시에 실행된다.^[4] 이로 인해 루킷에 의해 생성된 숨겨진 프로세스를 탐지하는 것이 극도로 어려워진다.

4. 1. 탐지 기법

4. 2. 대응 방안

5. 한계점

DKOM 기법은 탐지가 어렵지만, 완벽하게 숨길 수는 없다. 숙련된 보안 전문가나 메모리 포렌식 도구를 통해 DKOM 루트킷의 흔적을 찾을 수 있다.^[10] 운영체제의 커널 구조가 변경되면 DKOM 기법도 수정되어야 하므로, 새로운 운영체제 버전에 대한 대응이 필요하다.

이러한 유형의 루트킷과 관련된 중요한 점은 숨겨진 프로세스들이 다양한 문맥 전환에도 불구하고 계속 실행될 수 있다는 점이다.^[9] 윈도우 스케줄러에서 스레드들은 프로세스가 아니라 작업을 수행하기 위해 분리되어 있다. 스레드는 주어진 시간 프레임 동안 여러 프로세스들을 호출한다. 이 프로세스는 스케줄러의 라운드 로빈 스케줄링 방식에 의해 제어되며, 스레드들은 다른 스레드가 활성화되는 동안 대기 상태에 놓인다. 비록 프로세스가 작업 관리자에게는 보이지 않지만, 프로세스는 스레드가 활성화되어 있기 때문에 시스템과 동시에 실행된다.^[9] 이것은 루트킷에 의해 만들어진 숨겨진 프로세스를 탐지하는 것을 극도로 어렵게 만든다.

루트킷을 탐지하는 것은 무결성 검사 및 행위 탐지를 포함한 여러 복잡한 단계로 나뉜다. CPU 사용, 네트워크 트래픽, 드라이버 시그니처 등을 검사함으로써 간단한 안티 바이러스 도구들은 흔한 루트킷들을 탐지할 수 있다. 그러나 커널 형태의 루트킷의 경우에는 통하지 않는다. 이러한 형태의 루트킷들이 시스템 테이블이나 이벤트 뷰어, 루트킷 탐지로부터 숨기 위해 사용하는 방법으로 인해 후킹된 함수들을 찾는 것을 필요로 하기 때문이다. 이것은 구현하기 매우 힘들 뿐만 아니라 EPROCESS의 모든 노드에서 각각 반복할 필요가 있다.

악의적인 프로세스들의 존재가 물리적으로 핸들러에 존재하지 않는다고 해도 호출들은 반드시 백그라운드에 있어야 한다. DKOM 루트킷이 성공하기 위해서는 자신의 존재를 EPROCESS에 있는 모든 단일 참조로부터 숨겨야 한다.^[10] 이것은 루트킷이 일상적으로 자신을 가리키는 어떠한 링크도 만들어지지 않도록 업데이트해야 한다는 것을 의미한다. 스케줄러에서 모든 개체에 각각 반복함으로써 DKOM 루트킷을 탐지하는 것이 가능하게 된다. 특정한 메모리 패턴이나 행위가 스케줄러에서 발견된다면 실제 루트킷도 결국 탐지할 수 있게 된다.^[10]

6. 결론

DKOM을 사용하는 루트킷은 객체 관리자나 작업 관리자에서 자신을 숨긴다. 모든 활성 스레드 및 프로세스 목록을 포함하는 연결 리스트를 수정하여, 루트킷은 포인터를 자신으로부터 멀리 감싸 객체 관리자로부터 모든 흔적을 숨길 수 있다.^[6] 이는 커널 모듈과 로드 가능한 장치 드라이버가 특권 접근 권한을 통해 커널 메모리에 직접 접근할 수 있기 때문에 가능하다. 시스템 커널이 실행 중인 모든 프로세스 목록을 찾을 때 EPROCESS에 의존하지만, 윈도우 커널은 스레드 기반이므로 포인터를 자유롭게 수정할 수 있다.^[1] 연결 리스트 포인터를 수정하여 루트킷 프로세스 자체를 우회함으로써, 루트킷은 윈도우 이벤트 뷰어 및 관련 시스템 무결성 응용 프로그램에 보이지 않게 된다. 이는 DKOM 루트킷이 대상 시스템을 자유롭게 제어할 수 있게 한다.^[2]

DKOM은 다음과 같은 용도로 사용될 수 있다.^[7]

• 프로세스 숨기기
• 드라이버 숨기기
• 포트 숨기기
• 스레드 및 프로세스의 권한 수준 높이기
• 포렌식 왜곡
• 시스템 완전 제어

참조

_[1] 보고서 DKOM https://www.blackhat[...] HBGary 2014-05-14
_[2] 블로그 BSOD Tutorials: Rootkits http://bsodtutorials[...] 2014-01-27
_[3] 블로그 Ring Of Fire: Rootkits http://fluxius.handg[...] 2011-01-02
_[4] 간행물 When Malware Meets Rootkits https://www.symantec[...] Symantec 2005-12
_[5] 보고서 Windows Memory Forensics http://jessekornblum[...] KYRUS Technology 2006
_[6] 보고서 DKOM https://www.blackhat[...]
_[7] 블로그 BSOD Tutorials: Rootkits http://bsodtutorials[...]
_[8] 웹사이트 Ring Of Fire: Rootkits http://fluxius.handg[...]
_[9] 간행물 When Malware Meets Rootkits https://www.symantec[...]
_[10] 보고서 Windows Memory Forensics http://jessekornblum[...]