[루트킷] Iceword 사용방법

"루트킷"이란?

루트킷이란 "시스템에 탐지되지 않도록 하는 코드, 프로그램의 집합", "시스템 관리자 권한을 획득하기 위한 프로그램"

전반적으로 공격에 성공한 후 시스템에 다운로드 된 악성프로그램의 파일, 프로세스 정보를 숨기기 위해 사용함

루트킷의 기능

사용자 모드와 커널 모드 루트킷으로 구분할 수 있음. 사용자 모드 루트킷은 특정 파일, DLL 파일 교체, IAT(Import Address Table) 후킹, API 엔트리 패치 등의 방법을 사용하고, 커널 모드 루트킷은 Native API(ntdll.dll, Kernel32.dll, User32.dll 등) 커널 드라이브와 Win32 응용프로그램 간의 데이터를 조작한다.

루트킷의 기능은 다음과 같다.

- 프로세스 / 스레드 숨기기

- 프로세스 보안설정 변경 및 제거

- 파일 / 폴더 감추기

- 레지스트리 / 서비스 감추기

- 네트워크 정보 감추기

- 스니핑 및 시스템 제어

루트킷의 탐지

위의 툴 중 IceWord를 통해서 루트킷을 탐지하는 방법을 알아보자.

Iceword 관련 자료

- 다운로드 페이지: http://icesword.en.softonic.com/

- 제작자 페이지: http://www.blogcn.com/user17/pjf/index.html

- Skinfosec MSS에서 제작한 매뉴얼

iceword_매뉴얼_manual.pdf

- KISA 침해사고 대응 매뉴얼 - 43 ~ 47 pages

KISA_2010_침해사고 분석절차(내지)최종(fin).pdf