이번에는 Root Kit 에 대해 알아볼껀데요, 루트킷의 정의부터 공부해보도록 하겠습니다.
RootKit(루트킷)이란? - >
해커들이 관리자 시스템을 해킹할 때 시스템 관리자가 해킹당하고 있음을 알지 못하게 하기 위해
사용하는 프로그램, 엔진 등을 이야기 합니다.
해커들은 먼저 해당 사용자의 시스템 취약점을 찾아내어 접근 권환을 획득한뒤 , 루트킷을 설치합니다.
루트킷을 설치하면 공격자가 어디서 접근하였는지, 어떠한 프로그램으로 인하여 접근하게되었는지 조차 감지하지 못하게
모든 시스템을 은폐시킵니다.
따라서 시스템 권한자는 루트킷이 설치되어있는 사실조차 감지하기 어렵습니다.
루트킷은 연결되어있는 모든 네트워크상의 다른 컴퓨터에 있는 사용자 ID와 암호들을 스니핑 하거나 탐지하여 해커에게
루트 권한, 시스템 정보등 접근 권한을 제공합니다.
또한, 트래픽이나 키스트로크 감시, 해커 이용 목적의 시스템 내 백도어 설치,
로그파일 수정, 네트워크상의 다른 컴퓨터 공격, 탐지 회피를 위한 기존 시스템 도구의
수정등의 기능을 제공합니다.
RootKit(루트킷) 의 대표적인 특징 - >
1. Chrome 이나 Iexplorer.exe, explorer.exe , notepad 등 다양한 프로세스로 위장하며
루트킷이 설치된 시스템의 모든 기능을 총괄 관리가 가능하게 되어
공격자 마음대로 제어할 수 있습니다.
2. 루트킷은 일반 서버파일과는 달리 스스로 복제하거나 Download 모듈을 이용하여
제3의 공간에서 파일을 받아오는 등, 은폐하기 위하여 코드를 변형하거나,
운영체제 형태에 따라 운영체제 내용을 바꾸기도 하고 스스로 System 기반의 필수 프로그램인 것처럼 위장합니다.
3. 루트킷이 설치된 시스템을 이용 하여 제3의 컴퓨터를 악용 공격하거나, 해킹의 근거지로 삼습니다.
4. 다른 파일 또는 소프트웨어와 스스로 패킹하거나
검증된 S/W 메세지를 나타내어 사용자를 속이기도 하며, 다른 소프트웨어와 묶여 설치되는 루트킷도 있습니다.
5. 파일이나 소프트웨어, 네트워크 연결, 메모리 일부, 레지스트리 일부등을
숨김으로 보안체제가 알아채지 못하게 하며 경우에 따라서는 보안체제를
부수기도 합니다.
6. 루트킷은 불법적인 접근과 함께 접근 후의 행위도 숨깁니다.
공격자가 숨겨둔 해킹관련 도구나 해킹으로 수집한 정보들을 숨기기 위해
특정한 파일을 숨기기도 하고, 스니퍼와 같은 해킹 프로세스의 동작을 숨기기 위해
특정 프로세스를 숨기기도 합니다.
