|
|
폄 감지불능한 악성 코드 가능한 것인가
연방대총통[4군단] 
조회 :
2081 ,
2006/06/29 17:10 |
|
|
|
바이러스, 스파이웨어등의 악성 코드 제작자와 안티바이러스 및 소프트웨어 업체들의 쫓고 쫓기는 게임은 끝나지 않는다. 그러나 만약 전혀 감지가 불가능한 악성코드가 등장한다면?
싱가폴의 보안 업체 연구원 조앤나 룻코우스카는 운영체제의 제어권을 완벽히 탈취하면서도 전혀 감지가 불가능한 가상화 기술을 사용한 악성코드가 가능하다고 밝혔다. AMD의 퍼시피카 기술을 활용한 하이퍼바이저로 악성코드의 개념 코드(Concept Code)를 만들어낸 그는 이 악성코드가 윈도우 비스타 x64 시스템에서도 100% 감지되지 않는다고 밝혔다.
'블루 필(Blue Pill)'이른 이름의 이 개념코드를 윈도우 비스타 x64 시스템에서 그는 앞으로 8월 3일 보안 컨퍼런스인 블랙햇 브리핑에서 시연해 보일 예정이다. 한편 이날에 마이크로소프트는 여기서 윈도우 비스타의 주요 개선된 보안 기능을 공개할 예정이기도 하다.
이 보안 연구원은 비스타 베타 2 (64비트 에디션)에서 어떠한 보안 버그를 활용한 것이 아닌 일반적인 방법으로 악성 코드를 커널에 심는 것에 대한 발표를 가질 예정이다. 윈도우 비스타는 x64 기반의 시스템에 로딩되기 위해서는 커널 모드 소프트웨어는 디지털 서명을 가지고 있어야 하는데, 이것을 회피하는 것과 관련된 것을 그는 시연할 예정이다.
가상화 머신을 사용하는 악성코드 공격은 완전히 새로운 것은 아니다. 이미 마이크로소프트 연구소와 미시건 대학의 보안 연구원들은 가상 머신 기반의 룻킷 “SubVirt"를 만들어서 시연해 보인바 있다. 이 악성코드는 감지가 거의 불가능한데, 보안 소프트웨어가 이 악성코드의 상태를 해당 시스템에서 접근할 수 없기 때문이다.
룻코우스카가 찾아낸 방법은 더 치밀해서 AMD의 퍼시피카 기술이 결함이 있기 이전에는 블루 필을 찾아낼 수가 없다고 밝혔다. 만약 악성 코드 방지 기술이 가상화 시스템에도 적용된다면 이를 찾아낼 수가 있겠지만 이것은 바로 가상화 기술 자체가 버그가 있다는 것과도 같다고 그는 설명했다.
이를 블루 필(푸른 알약)이라고 명명한 것은 바로 운영체제가 이 알약을 먹게되면 마치 영화 매트릭스에서 처럼 블루필 하이퍼바이저가 운영체제 커널 모드에서 휘젓고 다니게 된다는 것. 이 방법은 시스템 재시작 없이 바로 감염되며 시스템 성능상의 저하도 없다고 그는 주장했다. 그는 이 악성 코드가 어떠한 버그에 의존한 것이 아니라는 것을 강조했는데, 그는 이미 이를 비스타 x64에 적용해 보았고 다른 운영체제에도 적용하지 못할 이유가 없다고 밝혔다.
출처 : http://news.kbench.com
|
|
|
|
