Home-theater-designers
바이러스 감염의 위협은 매우 현실적입니다. 우리의 컴퓨터를 공격하고, 우리의 신원을 훔치고, 우리의 은행 계좌를 습격하기 위해 일하는 보이지 않는 세력의 편재는 일정하지만, 우리는 적절한 양의 테크니컬 누스 그리고 약간의 운이 있으면 모든 것이 괜찮을 것입니다.
아마존 포도나무에 초대받는 방법
그러나 안티바이러스 및 기타 보안 소프트웨어가 발전함에 따라 잠재적인 공격자는 시스템을 방해할 새로운 악마적인 벡터를 계속 찾습니다. 부트킷도 그 중 하나입니다. 맬웨어 현장에 완전히 새로운 것은 아니지만 사용이 전반적으로 증가하고 기능이 확실히 강화되었습니다.
부트킷이 무엇인지 살펴보고 부트킷의 변종인 Nemesis와 명확하게 유지하기 위해 무엇을 할 수 있는지 고려 .
부트킷이란 무엇입니까?
부트킷이 무엇인지 이해하기 위해 먼저 용어의 출처를 설명하겠습니다. 부트킷은 루트킷의 변종으로, 운영 체제 및 바이러스 백신 소프트웨어로부터 자신을 숨길 수 있는 맬웨어 유형입니다. 루트킷은 탐지 및 제거하기가 어렵기로 악명이 높습니다. 시스템을 시작할 때마다 루트킷은 공격자에게 시스템에 대한 지속적인 루트 수준 액세스 권한을 부여합니다.
루트킷은 여러 가지 이유로 설치할 수 있습니다. 때때로 루트킷은 더 많은 맬웨어를 설치하는 데 사용되며, 때로는 봇넷 내에 '좀비' 컴퓨터를 만드는 데 사용되며, 암호화 키와 암호를 훔치거나 이들과 다른 공격 벡터의 조합을 훔치는 데 사용할 수 있습니다.
부트로더 수준(부트킷) 루트킷은 합법적인 부트로더를 공격자의 설계 중 하나로 대체하거나 수정하여 마스터 부트 레코드, 볼륨 부트 레코드 또는 기타 부트 섹터에 영향을 줍니다. 이것은 감염이 운영 체제보다 먼저 로드될 수 있고 따라서 모든 탐지 및 파괴 프로그램을 파괴할 수 있음을 의미합니다.
그들의 사용이 증가하고 있으며 보안 전문가들은 'Nemesis'가 가장 최근에 관찰된 맬웨어 생태계 중 하나인 화폐 서비스에 초점을 맞춘 여러 공격에 주목했습니다.
보안의 천적?
아니, 아니야 스타트렉 영화지만 부트킷의 특히 불쾌한 변종입니다. Nemesis 악성코드 생태계는 파일 전송, 화면 캡처, 키 입력 로깅, 프로세스 주입, 프로세스 조작 및 작업 예약을 포함한 다양한 공격 기능을 제공합니다. Nemesis를 처음 발견한 사이버 보안 회사인 FireEye는 또한 이 멀웨어에 광범위한 네트워크 프로토콜 및 통신 채널에 대한 포괄적인 백도어 지원 시스템이 포함되어 있어 일단 설치되면 더 큰 명령과 제어가 가능하다고 밝혔습니다.
Windows 시스템에서 마스터 부트 레코드(MBR)는 파티션 수 및 레이아웃과 같은 디스크 관련 정보를 저장합니다. MBR은 활성 기본 파티션을 찾는 코드를 포함하는 부팅 프로세스에 매우 중요합니다. 이것이 발견되면 개별 파티션의 첫 번째 섹터에 있는 VBR(볼륨 부트 레코드)로 제어가 전달됩니다.
Nemesis 부트킷은 이 프로세스를 가로채고 있습니다. 멀웨어는 파티션 사이의 할당되지 않은 공간에 Nemesis 구성 요소를 저장하는 맞춤형 가상 파일 시스템을 생성하고 'BOOTRASH'라는 시스템에서 원본 코드를 자체 코드로 덮어써 원본 VBR을 하이재킹합니다.
'설치하기 전에 BOOTRASH 설치 프로그램은 운영 체제 버전 및 아키텍처를 포함하여 시스템에 대한 통계를 수집합니다. 설치 프로그램은 시스템의 프로세서 아키텍처에 따라 32비트 또는 64비트 버전의 Nemesis 구성 요소를 배포할 수 있습니다. 설치 프로그램은 특정 유형의 하드 드라이브에 관계없이 MBR 부트 파티션이 있는 모든 하드 디스크에 부트킷을 설치합니다. 그러나 파티션이 MBR 파티션 방식과 달리 GUID 파티션 테이블 디스크 아키텍처를 사용하는 경우 악성 코드는 설치 프로세스를 계속하지 않습니다.'
그런 다음 파티션이 호출될 때마다 악성 코드가 대기 중인 Nemesis 구성 요소를 Windows에 주입합니다. 결과적으로 , '맬웨어의 설치 위치는 또한 맬웨어를 근절하는 가장 효과적인 방법으로 널리 간주되는 운영 체제를 다시 설치한 후에도 계속 남아 있음을 의미하므로 깨끗한 시스템을 위한 고군분투가 남습니다.
재미있게도 Nemesis 맬웨어 생태계에는 자체 제거 기능이 포함되어 있습니다. 이렇게 하면 원래 부트 섹터가 복원되고 시스템에서 맬웨어가 제거되지만 공격자가 자발적으로 맬웨어를 제거해야 하는 경우에만 존재합니다.
UEFI 보안 부팅
Nemesis 부트킷은 데이터를 수집하고 자금을 빼돌리기 위해 금융 기관에 큰 영향을 미쳤습니다. 인텔의 수석 기술 마케팅 엔지니어를 사용하는 것은 놀라운 일이 아닙니다. 브라이언 리처드슨 , WHO 노트 'MBR 부트킷 및 루트킷은 'A에 디스크를 삽입하고 계속하려면 Enter 키를 누르십시오' 이후로 바이러스 공격 벡터였습니다. 그는 Nemesis가 의심할 여지 없이 매우 위험한 맬웨어이지만 홈 시스템에 그렇게 쉽게 영향을 미치지 않을 수도 있다고 설명했습니다.
페이스북 앱에서 나를 팔로우하는 사람
지난 몇 년 동안 생성된 Windows 시스템은 UEFI 기반의 기본 펌웨어와 함께 GUID 파티션 테이블을 사용하여 포맷되었을 가능성이 큽니다. 맬웨어의 BOOTRASH 가상 파일 시스템 생성 부분은 UEFI로 부팅하는 시스템에 존재하지 않는 레거시 디스크 인터럽트에 의존하는 반면 UEFI 보안 부팅 서명 검사는 부팅 프로세스 동안 부트킷을 차단합니다.
따라서 Windows 8 또는 Windows 10이 사전 설치된 최신 시스템은 적어도 현재로서는 이 위협에서 벗어날 수 있습니다. 그러나 대기업이 IT 하드웨어를 업데이트하지 못하는 주요 문제를 보여줍니다. 그 회사들은 여전히 Windows 7을 사용하고 있으며 많은 곳에서 아직 Windows XP를 사용하여 자신과 고객을 주요 재정 및 데이터 위협에 노출시키고 있습니다.
독, 치료제
루트킷은 까다로운 연산자입니다. 난독화의 대가인 그들은 가능한 한 오랫동안 시스템을 제어하고 그 시간 동안 가능한 한 많은 정보를 수집하도록 설계되었습니다. 바이러스 백신 및 맬웨어 방지 회사는 많은 루트킷에 주목했습니다. 이제 사용자가 제거 응용 프로그램을 사용할 수 있습니다. :
- Malwarebytes 안티 루트킷 베타
- 카스퍼스키 랩 TDSSKiller
- Avast aswMBR
- Bitdefender 안티 루트킷
- GMER – 수동 제거가 필요한 고급 응용 프로그램
제거에 성공할 가능성이 있음에도 불구하고 많은 보안 전문가들은 깨끗한 시스템을 99% 확신할 수 있는 유일한 방법은 완전한 드라이브 포맷이라는 데 동의합니다. 따라서 시스템을 백업해 두십시오!
루트킷이나 부트킷을 경험한 적이 있습니까? 시스템을 어떻게 정리했습니까? 아래에 알려주세요!
공유하다 공유하다 트위터 이메일 이메일이 진짜인지 가짜인지 확인하는 3가지 방법다소 의심스러운 이메일을 받았다면 항상 해당 이메일의 진위 여부를 확인하는 것이 가장 좋습니다. 이메일이 진짜인지 확인하는 세 가지 방법이 있습니다.
다음 읽기 관련 항목- 보안
- 디스크 파티션
- 해킹
- 컴퓨터 보안
- 멀웨어
Gavin은 Windows 및 Technology Explained의 주니어 편집자이며, really Useful Podcast의 정기 기고자이자 정기 제품 검토자입니다. 그는 Devon의 언덕에서 약탈한 디지털 아트 프랙티스로 학사(우등) 현대 작문과 10년 이상의 전문 작문 경험을 보유하고 있습니다. 그는 많은 양의 차, 보드 게임 및 축구를 즐깁니다.
개빈 필립스가 참여한 작품 더보기뉴스레터 구독
뉴스레터에 가입하여 기술 팁, 리뷰, 무료 전자책 및 독점 거래를 확인하십시오!
구독하려면 여기를 클릭하세요.