[논문]윈도우 OS에서 DKOM 기반 루트킷 드라이버 탐지 기법

심재범; 나중찬

윈도우 OS에서 DKOM 기반 루트킷 드라이버 탐지 기법
Detecting a Driver-hidden Rootkit using DKOM in Windows OS 원문보기

심재범 (과학기술연합대학원대학교 정보보호공학) , 나중찬 (한국전자통신연구원)

많은 루트킷들은 사용자 또는 탐지 프로그램으로부터 탐지되지 않기 위해서 중요한 함수를 후킹하거나 DKOM 등의 기술을 이용한다. API를 후킹하여 반환되는 정보를 필터링하는 전통적인 루트킷과 달리 DKOM 루트킷은 이중 연결리스트로 구성된 커널 오브젝트의 링크를 직접 조작하여 루트킷 자신의 존재를 숨길 수 있으며 DKOM으로 은닉한 루트킷은 쉽게 탐지되지 않는다. 본 논문에서는 DKOM을 이용하여 은닉된 루트킷 드라이버를 탐지하기 위한 기술을 제안하고, 루트킷 탐지 능력을 검증한다.

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 커널 메모리 영역을 직접 조사하여 DKOM 기반 루트킷 드라이버를 빠르고 정확하게 탐지하기 위한 방법으로 메모리 스캐닝과 윈도우 레지스트리 검색 방법을 제안한다.
은닉된 DKOM 루트킷 드라이버를 탐지하는 방법은 많이 알려지지 않았다. 본 논문은 이런 유형의 루트킷을 탐지해내기 위해 OS 커널 메모리 영역을 스캔하여 모든 드라이버 관련 커널 오브젝트를 검색하고 각 오브젝트의 이중 연결리스트를 검사하여 링크가 정확한지 확인하였다. 추가로 레지스트리에서 확인할 수 있는 정보와 비교하여 드라이버 은닉 루트킷을 판별하는 방법을 제안하였다.

제안 방법

DKOM 루트킷의 탐지를 위해서 먼저 메모리 스캐닝을 진행한 후 윈도우 레지스트리로부터 얻어온 드라이버 정보를 비교한다. 메모리 스캐닝 과정에서는 이중 연결리스트의 링크가 유효한지를 검사한다.
DriverObject의 모든 목록을 출력하는 API는 따로 존재하지 않기 때문에 커널 오브젝트를 분석하기 위해 OS 디버거를 이용해야 한다. Microsoft에서 제공하는 Windbg[10]를 이용하여 커널 오브젝트를 분석하였고, Virtual PC 위에서 구동되는 윈도우XP를 디버깅하였다.
레지스트리에서 확인할 수 있는 드라이버에 관한 정보가 메모리 스캔을 통해서도 발견 되는지 비교하였다. 만약 어떤 드라이버에 대한 정보가 레지스트리에는 존재하지만, 메모리 스캐닝을 통해 그와 같은 정보를 가지고 있는 DriverSection 구조체를 발견하지 못한다면 그 드라이버는 루트킷의 것이라고 판단한다.
본 논문은 이런 유형의 루트킷을 탐지해내기 위해 OS 커널 메모리 영역을 스캔하여 모든 드라이버 관련 커널 오브젝트를 검색하고 각 오브젝트의 이중 연결리스트를 검사하여 링크가 정확한지 확인하였다. 추가로 레지스트리에서 확인할 수 있는 정보와 비교하여 드라이버 은닉 루트킷을 판별하는 방법을 제안하였다. 제안된 방법은 온라인 분석을 수행하기 때문에 메모리 덤프를 이용한 방법보다 더 빠르게 탐지할 수 있다.
커널 메모리 영역에서 발견된 모든 DriverSection 구조체에 대해서는 LIST_ENTRY의 링크가 정확한지 확인하기 위해 이중 연결리스트 무결성 검사를 진행한다. 추가적으로 메모리 스캐닝 결과와 이중 연결리스트를 모두 순회 하였을 때의 결과를 비교한다. 메모리 스캐닝에서는 확인되지만 이중 연결리스트를 모두 순회하였을 때 나타나지 않는 오브젝트는 루트킷이라고 간주한다.
커널 메모리 영역에서 발견된 모든 DriverSection 구조체에 대해서는 LIST_ENTRY의 링크가 정확한지 확인하기 위해 이중 연결리스트 무결성 검사를 진행한다. 추가적으로 메모리 스캐닝 결과와 이중 연결리스트를 모두 순회 하였을 때의 결과를 비교한다.
하지만 루트킷에 의해 이중 연결리스트가 조작되었을 경우에는 환형 이중 연결리스트가 변경된다. 커널 오브젝트의 이중 연결리스트 LIST_ENTRY의 링크가 올바른지 확인하기 위해 포워드 링크(Forward link)와 백워드 링크(Backward link)를 분석한다. 포워드 링크와 백워드 링크가 조작된 경우를 아래와 같이 3가지로 분류하였다.

대상 데이터

테스트를 위해 사용한 루트킷으로는 Fu_Rootkit, Unreal[6], BadRKDemo, RKUnhooker’s test rootkit을 이용하였다. 또한 제안된 탐지 기법과 비교하기 위해 많이 알려진 안티 루트킷 프로그램 3종을 이용하였다. 실험 결과는 (표 1)과 같다.
테스트를 위해 사용한 루트킷으로는 Fu_Rootkit, Unreal[6], BadRKDemo, RKUnhooker’s test rootkit을 이용하였다.

이론/모형

그러므로 우리가 후킹되지 않은, 안전한 API를 사용한다면 모든 드라이버 정보를 확인 가능하다. 안전하게 레지스트리를 검색하기 위해 [9]을 참조하였다.
DKOM 기반 루트킷 드라이버를 탐지하는 방법으로는 커널 메모리 영역을 덤프하여 조사하는 방법[7]과 메모리를 직접 조사하는 방법이 있다. 오픈소스 메모리 포렌식 도구인 Volatility[11]는 메모리 덤프 방식을 이용한다. Volatility는 은닉한 드라이버를 정확하게 찾을 수 있지만 시간이 오래 걸리며 실시간으로 찾아낼 수 없다는 단점이 있다.

성능/효과

메모리 스캐닝 방법을 이용하여 빠르게 메모리를 검색하여 링크의 무결성을 확인할 수 있고, DKOM 기반 루트킷 드라이버를 탐지하는 것이 가능하다. 하지만 일부 루트킷의 경우 DriverSection의 MmLd 매직넘버 값을 변경한다.
제안된 루트킷 탐지 기법은 4가지 루트킷 샘플을 모두 탐지해낼 수 있었다. Fu_rootkit, BadRKDemo의 경우 메모리 스캐닝 방법만으로도 탐지해낼 수 있었다.
추가적인 분석을 통해서 모든 DriverSection의 –0x04위치에는 항상 MmLd(0x4d6d4c64) 문자열이 포함되어 있는 것을 확인할 수 있었다.

핵심어

질문

논문에서 추출한 답변

루트킷이란?

루트킷은 사용자 또는 보안 프로그램으로부터 악성코드를 보호하고 은닉하기 위한 목적으로 제작된 프로그램이다. 기존의 루트킷은 탐지되지 않기 위해 주로 후킹을 하여 함수의 제어흐름(Control Flow)을 조작한다.

기존의 루트킷은 탐지되지 않기 위해 무엇을 조작하는가?

루트킷은 사용자 또는 보안 프로그램으로부터 악성코드를 보호하고 은닉하기 위한 목적으로 제작된 프로그램이다. 기존의 루트킷은 탐지되지 않기 위해 주로 후킹을 하여 함수의 제어흐름(Control Flow)을 조작한다. 최근 루트킷은 DKOM(Direct Kernel Object Manipulation)[1] 기술을 이용하여 OS에서 변경 가능한 영역을 조작하여 루트킷의 프로세스뿐만 아니라 루트킷의 드라이버도 은닉시킬 수 있다.

DKOM 기반 루트킷의 드라이버를 탐지하는 방법은?

특히 드라이버는 커널 레벨에서 임의의 코드를 실행할 수 있기 때문에 쉽게 탐지되지 않으며, 그 위험성이 매우 크다. DKOM 기반 루트킷 드라이버를 탐지하기 위한 방법으로는 메모리 덤프를 분석하는 방법과 메모리를 직접 조사하는 온라인 분석 방법이 있다. 메모리 덤프 분석 방법은 은닉된 드라이버를 정확하게 찾아낼 수 있지만, 시간이 오래 걸리며 실시간으로 분석할 수 없다는 단점이 있다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

윈도우 OS에서 DKOM 기반 루트킷 드라이버 탐지 기법
Detecting a Driver-hidden Rootkit using DKOM in Windows OS 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

이론/모형

성능/효과

질의응답

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

윈도우 OS에서 DKOM 기반 루트킷 드라이버 탐지 기법 Detecting a Driver-hidden Rootkit using DKOM in Windows OS 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

이론/모형

성능/효과

질의응답

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

윈도우 OS에서 DKOM 기반 루트킷 드라이버 탐지 기법
Detecting a Driver-hidden Rootkit using DKOM in Windows OS 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper