루트킷

루트킷이란?

흔적을 남기지 않는 도구를 뜻함

(침투를 성공한 공격자가 은밀하게 침투한 상태를 유지하도록 도와주는 프로그램)

 

루트킷 기능 4가지

• 프로세스 숨기기
• 파일 숨기기
• 네트워크 커넥션 숨기기
• 시스템에 접속하기 위한 백도어 설치

DKOM

• 커널 오브젝트 직접 조작
• 유저 모드의 프로세스나 디바이스 드라이버와 포트 숨기기, 토큰 변경 등을 위하여 사용

1. 커널

커널 영역에서의 변경을 이야기한다. 때문에 유저 영역 프로그램으로는 이를 조작할 수 없음을 뜻한다.

2. 오브젝트

커널에서는 구조체를 오브젝트라 표현하는데 프로세스 숨기기의 경우, 프로세스의 정보를 가진 EPROCESS 구조체의 일부를 조작한다.

3. 직접(Direct)

원래 커널 오브젝트 관리자(Object Manager)를 통해서 이뤄져야 할 변경을 직접 변경함으로써 별도의 권한 체크 과정 없이 수행 가능함을 뜻한다.

 

그림 1-1 링크드 리스트 원리로 숨겨진 프로세스