작성자 : 기술지원부 김 삼 수 kiss@nextline.net

IceSword (루트킷 탐지∙삭제 프로그램)

숨겨진 프로세스나 서비스, 포트 등을 붉은색으로 표시해 루트킷의 존재를 알려주는 윈도우용 보안 툴 입니다. 일반 툴로는 볼 수 없는 루트킷 기법을 사용하는 파일이나 그 레지스트리를 볼 수 있게 해 사용자가 직접 이를 삭제할 수 있습니다. 루트킷 기법은 계속 발전하고 있기에 IceSword로는 모두 탐지할 수는 없으며 백신등과 다른 루트킷 탐지도구의 검사내용, Google검색 등을 통해 삭제내용을 신중히 결정하시기 바랍니다.

파일이나 레지스트리를 삭제할 때는 상당한 주의를 요합니다. 특히 SSDT(System Service Descriptor Table)항목의 경우에는 특히 주의를 해야 합니다. 보안프로그램도 kernel hook기법을 이용하기에 붉게 표시되었다고 모두 루트킷이 아닙니다.

(실제로 kav의 klif.sys, outpost의 filtnt.sys, daemon의 d347bus.sys도 붉게 표시됩니다.)

IceSword는 위에서 언급한 기능 외에도 Startup, BHO 등의 기능이 있어 일반적인 분석도구로도 사용이 가능합니다.

IceSword 보안툴의 경우 IceSword.exe, lsHelf.exe로 구성되며 IceSword.exe의 경우 영문판이 있지만 lsHelf.exe의 중문입니다.

IceSword.exe : 실행되고 있는 루트킷 및 백도어(바이러스)를 붉게 표시해주며 프로세스 및 실행파일 레지스트리 삭제가 가능합니다.

(실행되지 않는 루트킷 및 백도어(바이러스)는 붉은색으로 표시되지 않습니다.)

IsHelf.exe : IceSword.exe에서 검출된 루트킷 및 백도어(바이러스)의 위치를 검색할 수 있으며 삭제 기능은 제공되지 않습니다. 

(실행되지 않는 루트킷 및 백도어(바이러스)는 검색되지 않습니다.)

IceSword (제작자 홈페이지)

http://www.blogcn.com/user17/pjf/index.html

공개자료실

http://www.bomul.com(심파일)

http://www.simfile.com(보물섬)

IceSword 1.20 영문버전

http://202.38.64.10/~jfpan/download/IceSword120_en.zip

1) IceSword 실행방법

① IceSword120_en.zip 파일 압축해제

IceSword 프로그램은 별도의 설치과정 없이 다운로드 받은 IceSword120_en.zip 파일 압축해제 후 IceSword.exe을 실행하시면 됩니다.

② IceSword.exe 실행

③ Cooperator.zip 압축해제

IsHelf.exe는 압축 해제한 IceSword 폴더 내에 Cooperator.zip 파일의 압축을 풀면 Cooperator 디렉토리 내에 존재합니다.

④ IsHelp.exe 실행

lsHelf.exe는 IceSword.exe가 실행된 상태에서 실행됩니다.

2) IceSword 사용방법

해킹 서버를 이용한 루트킷 및 백도어 검출

용도 : DB서버

OS : 윈도우 2000서버

프로그램 : MSSQL 2000

해킹유형 : SQL Injection 취약성을 이용한 공격으로 administrator 권한을 획득 후 원격 접속을 이용한 루트킷 및 백도어 설치

① IceSword.exe 실행

IceSword.exe를 실행시키고 process, services, port, startup, kernel module 등의 항목에 붉게 표시된 것이 있는지 확인합니다.

(보다 효율적으로 루트킷을 탐지하기 위해서는 IceSword.exe와 IsHelf.exe 등을 CD에 옮긴 후 CD상의 IceSword.exe를 실행합니다. 그 후 시작,실행, msconfig 치고 확인,시작프로그램, 아무 항목이나 체크,적용,닫기, 재부팅 여부를 물을 때 다시 시작 클릭 재부팅 후 CD에 있는 IceSword.exe를 실행시켜 검사하는 방법이 있습니다. 체크된 항목은 저절로 체크 해제됩니다.)

② Process

hxdef.exe, wmimpmt.exe 프로세스가 붉게 표시되고 있는 화면입니다.

프로세스 종료 : [해당프로세스]-[마우스우측버튼]-[Terminate Process]

 ③ Win32 Services

Win32 Services에 존재하지 않는 WmiMpmt, Hender 서비스가 재부팅 시 자동시작 되도록 Services 목록에 설정되어있습니다.

서비스 중지 : [해당프로세스]-[마우스우측버튼]-[Disabled]

④ Port

wmimpmt.exe 프로세스의 포트를 검색 시 중국, 오스트레일리아 쪽 IP가 연결되어있음을 확인할 수 있습니다.

포트 리플레쉬 : [해당프로세스]-[마우스우측버튼]-[Refresh]

⑤ System Check 화면

히든프로세스로 wmimpmt.exe, hxdef.exe이 검출된 화면입니다.

⑥ 실행파일 경로검색

IceHelp.exe으로 붉게 표시된 프로세스 및 히든파일이 경로를 검색할 수 있지만 IceSword.exe에서도 경로가 검색됩니다.

[wmimpmt.exe]

경로 : C:\WINNT\system32\wmimpmt.exe

[wmimpmt.exe] – [등록정보]

ccproxy 의해 구동되는 프로세스임을 확인할 수 있습니다.

[hxdef.exe]

경로 : C:\WINNT\system32\hxdef.exe

⑦ Registry

루트킷이나 백도어가 설치된 경우는 유관상으로 확인 및 삭제할 수 없도록 레지스트리를 수정했을 가능성이 크므로 Registry 항목을 체크합니다.

내컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

[Hender]

레지스트리삭제 : [Hender]-[마우스우측버튼]-[Delete]

[WmiMpmt]

레지스트리삭제 : [WmiMpmt]-[마우스우측버튼]-[Delete]

3) IsHelp 사용방법

IceSword.exe을 이용하여 루트킷 및 백도어(바이러스)가 검출되었을 경우 IsHelp.exe을 이용하여 루트킷 및 백도어(바이러스) 재검출 및 경로탐색을 합니다.

① IsHelp.exe의 Advancement module 부분에서 hxdef.exe, wmimpmt.exe가 검출되는 화면입니다.

[hxdef.exe]

[wmimpmt.exe]

② 루트킷 및 백도어(바이러스) 검색

로컬디스크상에 존재하는 루트킷 및 백도어(바이러스)로 의심되는 hwdef.exe,

wmimpmt.exe가 검출되는 화면입니다.

③ Registry 검색

IceSword.exe에서는 해당 경로를 직접 검색해야 하지만 IsHelp.exe 레지스트리 항목에서는 해당 경로가 자동 탐색되며, 삭제는 IceSword.exe의 Registry항목에서만 가능합니다.

내컴퓨터\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

[Hender]

[WmiMpmt]

④ 루트킷 및 백도어(바이러스) 경로검색

검출된 루트킷 및 백도어(바이러스)의 파일명을 이용하여 파일의 위치를 검색할 수 있습니다.

⑤ 위와같이 IceSword, IsHelp에서 루트킷 및 백도어(바이러스) 의심 프로세스가 검출되거나 특정 Port로 해외쪽 아이피가 연결되어 있고 System Check 목록에 히든파일이 검출될 때는 루트킷이나 백도어(바이러스) 의심을 해 야합니다. 백신검사 및 cport, RootkitRevealer 등의 프로그램으로  루트킷 존재여부를 다시 확인하여 삭제여부를 결정합니다. 위의경우 백신이나 cport, RootkitRevealer 는 검출되지 않는 부분이 있었으므로 해당 프로세스 및 파일, 레지스트리를 삭제할 때는 신중히 결정하셔야 합니다.

⑥ 만약 문제되는 프로세스가 explorer.exe, winlogon.exe, svchost.exe와 같은 윈도우의 정상프로세스라면 dll injection을 의심해 보아야 합니다. IsHelf.exe로 문제를 야기한 dll을 확정한 후 process explorer와 같은 프로그램으로 해당 프로세스를 정지(suspend)시킨 후 IceSword.exe로 해당 dll을 프로세스에서 제거(unload) 합니다. 그 후에 IceSword.exe의 file 항목에서 찾아 직접 삭제합니다. 정지시킨 프로세스는 process explorer로 다시시작 (resume)합니다.

process explorer에는 프로세스를 정지시키는 기능은 있지만 dll을 프로세스에서 제거하는 기능은 없고, IceSword.exe는 그 반대입니다. 문제되는 윈도우의 정상프로세스가 2개 이상이라면 프로세스가 서로 연동되어 있을 수 있으므로 해당 프로세스를 모두 정지시킨 후 위 설명에 따릅니다.

4) 루트킷 및 백도어(바이러스) 재검사

① 검출된 루트킷 및 백도어(바이러스) 프로세스 및 파일, 레지스트리를 모두 삭제 하셨다면 IceSword.exe, IsHelp.exe을 재 실행하여 루트킷 및 백도어(바이러스)의 검출을 재확인과 백신검사(안전모드), 계정, 로컬디스크보안, 패스워드변경, 윈도우업데이트, 포트차단등의 보안관련 설정을 확인합니다.