[08] 루트킷 (rootkit)

01. 루트킷(rootkit)?

컴퓨터 소프트웨어 중에서 악의적인 것들의 모음

자신의 존재를 숨기고 허가되지 않은 소프트웨어 영역에 접근할 수 있게 하기 위함

설치가 자동으로 이루어지거나 공격자가 루트 권한이나 관리자 접근을 획득했을 때 설치

설치되면, 권한을 가진 접근을 유지하거나 침입을 숨길 수 있음

루트 권한 획득(권한 확대) 실행

한 번 설치되면 자신의 존재를 감추기 위해 표준 운영 체제 보안 툴과 진단, 스캐닝, 감시를 위한 API를 전복 시키거나 회피하는 등의 동작 수행

백도어, 원격 접근 프로그램, 침입 흔적 로그 삭제 프로그램 등으로 구성

사용이 점점 증가하는 추세이다 -> 인터넷 상에 많은 소스코드가 공개되어 있음

 

 

02. 용도

신뢰하지 않는 접근을 허용

악성 소프트웨어(ex. 키로거)를 숨긴다

특정 머신을 좀비 컴퓨터(DDoS를 수행하는 봇넷)로 도용해 다른 컴퓨터 공격

 

 

03. 예시 (Scranos)

로그인 크리덴셜 및 지불 계정 탈취, 검색 히스토리 및 쿠키 추출, 유튜브 구독자 페이로드, 광고 표시, 페이로드 다운로드 및 실행하는 기능 포함

감염된 기기에 디지털 서명된 루트킷 드라이버를 설치함으로써 지속성 얻음

 

 

 

 

출처

1. https://ko.wikipedia.org/wiki/%EB%A3%A8%ED%8A%B8%ED%82%B7

2. https://blog.alyac.co.kr/2257

3. http://www.kltec.kr/board/bbs/board.php?bo_table=FAQ&wr_id=45&sca=%EB%B3%B4%EC%95%88+%EB%B0%8F+%EC%A0%9C%ED%92%88+%EC%A0%95%EB%B3%B4&nca=