Computer >> 컴퓨터 >  >> 문제 해결 >> 컴퓨터 유지 보수

루트킷이란 무엇이며 어떻게 제거합니까?

루트킷이란 무엇입니까?

루트킷은 컴퓨터 또는 기타 소프트웨어에 대한 무단 액세스를 허용하도록 설계된 악성 소프트웨어 번들입니다. . 루트킷은 탐지하기 어렵고 감염된 시스템 내에서 존재를 숨길 수 있습니다. 해커는 루트킷 맬웨어를 사용하여 컴퓨터에 원격으로 액세스하여 컴퓨터를 조작하고 데이터를 훔칩니다.

루트킷이 작동하면 시스템이 마치 좀비 컴퓨터처럼 작동하고 해커가 원격 액세스를 사용하여 기기를 절대적으로 제어할 수 있습니다. . 루트킷 정의의 이 부분은 루트킷을 매우 강력하게 만드는 것입니다.

파일 없는 맬웨어가 추적을 남기지 않고 합법적인 프로그램을 사용하는 것과 유사하게 해커가 시스템 파일 및 시스템 프로세스에 대한 액세스 권한을 갖고 있기 때문에 루트킷도 합법적인 것처럼 보일 수 있습니다. 루트킷은 컴퓨터가 사용자에게 거짓말을 하게 하고 때로는 바이러스 백신 및 보안 소프트웨어에도 거짓말을 하게 만듭니다.

루트킷은 무엇을 합니까?

루트킷을 사용하면 악성 코드가 기기 내에 숨길 수 있습니다. 루트킷 공격이 발생하면 운영 체제에 대한 원격 관리자 액세스 권한을 부여합니다. 탐지를 피하면서.

루트킷은 무엇을 수정합니까? 루트킷의 목적은 컴퓨터 시스템에 대한 관리자 수준의 권한 있는 액세스 권한을 얻는 것이므로 루트킷은 관리자가 할 수 있는 모든 것을 수정할 수 있습니다 . 다음은 루트킷이 수행하거나 수정할 수 있는 작업에 대한 간략한 목록입니다.

  • <강한> 루트킷이란 무엇이며 어떻게 제거합니까?멀웨어 숨기기: 루트킷은 기기 내에서 다른 유형의 맬웨어를 숨기고 제거하기 어렵게 만듭니다.

  • <강한> 루트킷이란 무엇이며 어떻게 제거합니까?원격 액세스: 루트킷은 탐지를 피하면서 운영 체제에 대한 원격 액세스를 제공합니다. 루트킷 설치는 점점 더 원격 액세스 사기와 관련이 있습니다.

  • <강한> 루트킷이란 무엇이며 어떻게 제거합니까?보안 프로그램 변조 또는 비활성화: 일부 루트킷은 컴퓨터의 보안 프로그램으로부터 자신을 숨기거나 완전히 끌 수 있어 악성코드를 감지하고 제거하기 어렵게 만듭니다.

  • <강한> 루트킷이란 무엇이며 어떻게 제거합니까?데이터 도용: 대부분의 경우 사이버 범죄자는 루트킷을 사용하여 데이터를 훔칩니다. 일부 해커는 개인을 표적으로 삼고 신원 도용이나 사기를 위해 개인 데이터를 캡처합니다. 다른 사람들은 간첩이나 금융 범죄를 추구하기 위해 기업 목표물을 쫓습니다.

  • <강한> 루트킷이란 무엇이며 어떻게 제거합니까?영구적인 "백도어" 생성: 일부 루트킷은 시스템에 사이버 보안 백도어를 생성할 수 있으며, 이는 해커가 나중에 돌아올 수 있도록 열려 있습니다.

  • <강한> 루트킷이란 무엇이며 어떻게 제거합니까?당신에 대한 도청: 루트킷을 모니터링 도구로 사용하여 해커가 사용자를 도청할 수 있습니다.

  • <강한> 루트킷이란 무엇이며 어떻게 제거합니까?개인정보 침해: 루트킷을 사용하면 해커가 인터넷 트래픽을 가로채고 키 입력을 추적하며 이메일을 읽을 수도 있습니다.

루트킷을 제거하는 방법

루트킷 제거는 쉽지 않습니다. 루트킷은 운영 체제 깊숙이 침투할 수 있기 때문에 , 그들이 거기에 있다고 말하기는 어렵습니다. 하지만 루트킷이 있다는 것을 알게 되면 좀비 컴퓨터의 루트킷 감염을 치료하는 것이 중요합니다.

1단계:루트킷 제거 소프트웨어 실행

대부분의 루트킷은 기본 보호 기능을 파괴할 수 있으므로 Windows Defender 또는 기타 내장 보안 소프트웨어에 의존하지 마십시오. 완전한 보호를 위해 Avast One과 같은 전문 소프트웨어를 사용하십시오. Avast는 세계 최대의 위협 탐지 네트워크와 머신 러닝 맬웨어 보호 기능을 루트킷을 탐지 및 제거하고 미래의 모든 종류의 온라인 위협으로부터 방어할 수 있는 단일 경량 도구에 결합합니다.

루트킷이란 무엇이며 어떻게 제거합니까?Avast One은 루트킷 및 기타 종류의 맬웨어가 컴퓨터에 없는지 확인하기 위해 다양한 검사를 제공합니다. .

Avast One은 루트킷 바이러스를 제거하고 다시 돌아오는 것을 방지하는 방법을 알고 있습니다. 따라서 해커가 데이터를 훔치거나 컴퓨터에 대한 권한 있는 액세스 권한을 얻기 전에 Avast가 멀웨어를 완전히 검사하고 제거하도록 합니다.

2단계:부팅 시 스캔 수행

최신 맬웨어는 정교한 기술을 사용하여 안티바이러스 제품의 탐지를 회피합니다. 운영 체제가 실행되면 기기에 있는 루트킷이 자동 안티바이러스 검사를 능가할 수 있습니다 .

바이러스 백신 프로그램이 운영 체제에 특정 맬웨어 파일을 열도록 요청하는 경우 루트킷은 정보 흐름을 변경하고 대신 무해한 파일을 열 수 있습니다. 또한 멀웨어에 대한 정보를 저장하고 공유하는 데 사용되는 멀웨어 파일의 열거 코드를 변경하여 검사에 포함되지 않도록 할 수도 있습니다.

이것이 Avast One에 포함된 것과 같은 부팅 시 스캔이 매우 편리한 이유입니다. 부팅 시간 검사는 컴퓨터가 시작되는 동안 실행됩니다. 조치를 취하기 전에 루트킷을 포착합니다. 부팅 시 스캔의 이점은 일반적으로 루트킷이 여전히 휴면 상태에 있다는 것입니다. 시스템에서 자신을 숨길 수 없습니다.

3단계:기기 초기화 및 OS 재설치

바이러스 백신 소프트웨어와 부팅 시 스캔이 루트킷을 제거하지 못하면 데이터를 백업하고 장치를 지우고 새로 설치를 수행해 보십시오. 루트킷이 부팅, 펌웨어 또는 하이퍼바이저 수준에서 작동할 때 이것은 때때로 유일한 해결책입니다.

우선 하드 드라이브를 포맷하고 중요한 파일을 백업하기 위해 하드 드라이브를 복제하는 방법을 알아야 합니다. 기본 C:드라이브를 지워야 할 수도 있지만 대부분의 데이터는 계속 유지할 수 있습니다. 이것은 루트킷을 제거하는 마지막 수단입니다.

먼저 루트킷을 피하십시오

루트킷 바이러스를 제거하는 가장 좋은 방법은 아예 제거하지 않는 것입니다. 루트킷을 제거하는 방법에 대한 두려운 질문을 피하기 위해 지금 취할 수 있는 조치가 있습니다. 현명한 온라인 보안 습관을 실천하면 루트킷이 없는 상태에 훨씬 더 가까워질 수 있습니다.

  • 알 수 없는 파일에 주의: 신뢰할 수 있는 연락처에서 보낸 파일도 열기 전에 면밀히 검토해야 합니다. 알 수 없는 발신자가 보낸 첨부 파일을 열지 마십시오. 피싱 공격일 수 있습니다. 또한 전용 보안 브라우저를 사용하여 피싱 및 기타 온라인 위협에 대한 보안 계층을 추가하십시오.

  • 유명한 출처에서 소프트웨어 다운로드: 이상적으로는 제조업체 또는 App Store 또는 Google Play Store에서 직접 제공합니다. 이용약관을 자세히 확인하여 루트킷을 기기에 삽입하려는 사람이 없는지 확인하세요.

  • 시스템 업데이트를 최대한 빨리 설치: 이러한 업데이트는 해커가 기기에 액세스하기 위해 악용할 수 있는 최근에 발견된 취약점을 패치하는 경우가 많습니다.

루트킷을 식별하고 찾는 방법

루트킷이 제대로 일을 할 때, 당신은 그것을 알아차리지 못합니다. 루트킷을 찾고 감지하는 가장 좋은 방법은 루트킷 스캐너와 Avast One과 같은 제거 도구를 사용하는 것입니다. 이 무료 루트킷 스캔 도구는 기기에 설치된 루트킷을 찾아 제거할 뿐만 아니라 향후 설치되지 않도록 방지합니다.

DIY 군중을 위해 루트킷을 찾는 방법에 대한 대체 팁이 있습니다. 최고의 무료 바이러스 백신 소프트웨어를 선택하는 것만큼 쉽지는 않을 것입니다. 루트킷을 스스로 찾았더라도 제거하지 못할 수도 있습니다. 하지만 저희가 도와드리겠습니다.

루트킷 공격의 징후

다음 경고 표시는 장치에 루트킷이 있음을 나타낼 수 있습니다.

  • 시스템이 이상하게 작동합니다. 루트킷을 사용하면 해커가 컴퓨터의 OS를 조작할 수 있습니다. 컴퓨터가 이상하게 작동하는 경우 루트킷을 통한 해커의 작업일 수 있습니다.

  • 설정 변경: 일반적으로 컴퓨터는 말 없이 일을 해서는 안 되며 이상적으로는 말을 하는 사람이 바로 당신입니다. 루트킷 지원 원격 액세스를 통해 다른 사람이 사용자의 설정 및 구성에 간섭할 수 있습니다. 뭔가 다르게 보인다면 우려할 만한 이유가 있을 수 있습니다.

  • 웹 페이지/네트워크 활동 간헐적: 인터넷 연결이 갑자기 평소보다 더 불안정해지면 서비스 문제가 아닐 수 있습니다. 해커가 루트킷을 사용하여 컴퓨터에서 많은 트래픽을 보내거나 받는 경우 인터넷 연결이 중단될 수 있습니다.

루트킷을 찾는 방법

컴퓨터가 감염되었다고 의심되는 경우 다음 기술을 사용하여 루트킷을 찾을 수 있습니다.

  • 서명 스캔: 컴퓨터는 숫자로 일을 합니다. 소프트웨어의 서명 컴퓨터에서 표현하는 역할을 하는 숫자의 집합입니다. 알려진 루트킷 서명 데이터베이스에 대해 컴퓨터를 스캔하고 그 중 하나가 나타나는지 확인할 수 있습니다.

  • 메모리 덤프 분석: Windows 시스템이 충돌하면 메모리 덤프라는 파일도 생성됩니다. , 또는 크래시 덤프. 숙련된 기술자가 이 파일을 검사하여 충돌의 원인을 식별하고 루트킷 때문인지 확인할 수 있습니다.

  • 시스템 메모리 검색: 컴퓨터의 시스템 메모리를 검색하여 문제가 있는지 확인하십시오. 검색하는 동안 모든 인그레스(액세스) 지점에서 호출된 프로세스의 표시를 확인하고 DLL(Dynamic-Link Libraries)에서 가져온 모든 라이브러리 호출을 추적합니다. 일부는 연결되거나 다른 기능으로 리디렉션될 수 있습니다.

루트킷은 어떻게 설치되나요?

컴퓨터 웜 및 바이러스와 달리(하지만 트로이 목마 멀웨어와 유사) 루트킷 감염은 컴퓨터에 설치하는 데 도움이 필요합니다.

해커는 루트킷을 드로퍼라는 두 개의 파트너 프로그램과 번들로 묶습니다. 및 로더 — 루트킷을 설치하기 위해 함께 작동합니다. 세 가지 맬웨어가 함께 혼합 위협을 구성합니다. . 루트킷이 설치하는 데 사용하는 도구를 자세히 살펴보겠습니다.

  • 스포이드: 드롭퍼는 루트킷을 피해자의 컴퓨터로 가져옵니다. 드로퍼는 설치 프로세스의 첫 번째 단계입니다. 희생자가 드로퍼를 활성화하면 드로퍼가 차례로 로더를 활성화합니다.

  • 로더: 드로퍼가 실행되면 로더가 작동하여 루트킷을 대상 시스템에 설치합니다. 로더는 종종 버퍼 오버플로를 트리거하여 이를 수행합니다. . 이것은 해커가 컴퓨터 메모리의 다른 방법으로는 액세스할 수 없는 영역에 코드를 삽입할 수 있도록 하는 일반적인 보안 악용입니다.

루트킷이란 무엇이며 어떻게 제거합니까?루트킷은 공격을 수행하기 위해 함께 작동하는 "드로퍼" 및 "로더"와 함께 번들로 제공됩니다. .

사이버 범죄자의 과제는 혼합 위협 패키지를 착륙시키는 것입니다. 다음은 해커가 컴퓨터에 루트킷을 설치하기 위해 수행할 수 있는 몇 가지 방법입니다.

  • 메시지 프로그램 도용: 혼합된 위협은 인스턴트 메시징 클라이언트를 하이재킹하여 피해자의 연락처로 확산될 수 있습니다. 받는 사람이 메시지의 악성 링크를 클릭하면 해당 컴퓨터도 감염됩니다. 이러한 유형의 사회 공학적 공격은 루트킷을 전파하는 매우 효과적인 방법입니다.

  • 신뢰할 수 있는 소프트웨어에 편승: 해커는 신뢰할 수 있는 프로그램과 앱에 컴퓨터 루트킷을 삽입한 다음 이러한 중독된 앱을 다양한 다운로드 포털에 업로드할 수 있습니다. 감염된 앱을 설치하면 본인도 모르는 사이에 루트킷도 설치됩니다.

  • 기타 멀웨어 사용: 바이러스와 트로이 목마는 루트킷 확산기로 사용될 수 있습니다. 둘 다 컴퓨터에 침투하는 데 매우 효과적이기 때문입니다. 바이러스가 포함된 프로그램을 실행하거나 트로이 목마를 실행하면 기기에 루트킷이 설치됩니다.

  • 리치 콘텐츠 파일에 숨기기: PDF와 같은 리치 콘텐츠 파일의 출현으로 해커는 더 이상 전용 웹사이트나 프로그램에서 맬웨어를 숨길 필요가 없습니다. 대신 이러한 단순한 리치 콘텐츠 파일에 루트킷을 포함할 수 있습니다. 오염된 파일을 열면 루트킷 드로퍼가 자동으로 실행됩니다.

루트킷의 유형

보안 전문가는 루트킷이 컴퓨터를 감염시키는 위치와 깊이에 따라 6가지 범주로 분류합니다.

사용자 모드 루트킷

사용자 모드 루트킷은 운영 체제의 관리 계정을 감염합니다. , 컴퓨터의 보안 프로토콜을 변경하는 데 필요한 최상위 권한을 얻는 동시에 자신과 컴퓨터가 사용하는 다른 맬웨어를 숨깁니다.

이러한 루트킷은 컴퓨터가 부팅될 때 자동으로 실행되므로 간단한 재시작만으로는 감염을 제거하기에 충분하지 않습니다. 루트킷 탐지 소프트웨어는 커널이라고 하는 더 깊은 수준에서 실행되기 때문에 Avast One과 같은 맬웨어 스캐너 및 제거 프로그램은 사용자 모드 루트킷을 탐지할 수 있습니다.

커널 모드 루트킷

커널 수준 루트킷 스캐너에 대한 응답으로 해커는 커널 모드 루트킷을 만들었습니다. 실제 운영 체제와 동일한 수준의 컴퓨터에 있습니다. 결과적으로 전체 OS를 손상시킵니다.

커널 모드 루트킷에 공격을 받으면 더 이상 컴퓨터에 대한 어떤 것도 신뢰할 수 없습니다. 안티 루트킷 검사 결과를 포함하여 모든 것이 잠재적으로 오염될 수 있습니다. 다행히도 과도한 시스템 충돌 및 존재를 드러내는 기타 딸꾹질을 일으키지 않고 작동할 수 있는 커널 모드 루트킷을 만드는 것은 매우 어렵습니다.

하이브리드 루트킷

하이브리드 루트킷은 일부 구성 요소를 사용자 수준에 배치하고 나머지 구성 요소는 커널에 배치합니다. . 이를 통해 하이브리드 루트킷은 커널에 상주하는 사촌의 향상된 은폐 기능을 통해 사용자 모드 루트킷의 안정성을 즐길 수 있습니다. 따라서 사용자 커널 하이브리드 루트킷은 사이버 범죄자들에게 가장 인기 있는 유형 중 하나입니다.

펌웨어 루트킷

펌웨어는 컴퓨터 하드웨어를 제어하는 ​​일종의 저수준 소프트웨어입니다. 일부 루트킷은 컴퓨터를 끌 때 펌웨어 내부에 숨길 수 있습니다. . 다시 켜면 펌웨어 루트킷이 자체적으로 다시 설치되고 다시 작동할 수 있습니다.

루트킷 스캐너가 실행되는 동안 펌웨어 루트킷을 찾아 비활성화하면 다음에 시스템을 켤 때 루트킷이 바로 되돌아옵니다. 펌웨어 루트킷은 컴퓨터 시스템에서 제거하기가 어렵기로 악명이 높습니다.

부트킷

컴퓨터의 전원을 켜면 OS 로드 방법에 대한 지침은 마스터 부트 레코드(MBR)를 참조합니다. 부트로더 루트킷이라고도 하는 부트킷 , 컴퓨터의 MBR을 감염시키는 커널 모드 루트킷 변종입니다. 컴퓨터가 MBR을 참조할 때마다 부트킷도 로드됩니다.

맬웨어 방지 프로그램은 부트킷이 OS에 전혀 상주하지 않기 때문에 모든 커널 모드 루트킷과 마찬가지로 부트킷을 감지하는 데 어려움이 있습니다. 고맙게도 부트킷은 더 이상 사용되지 않습니다. , Windows 8과 Windows 10 모두 보안 부팅 기능으로 대응하기 때문입니다.

가상 루트킷

가상 머신은 물리적 컴퓨터에서 호스팅되는 별도 컴퓨터의 소프트웨어 기반 에뮬레이션입니다. 가상 머신은 하나의 머신에서 여러 운영 체제를 실행하거나 격리된 환경에서 프로그램을 테스트하는 데 사용됩니다.

가상 루트킷 또는 VMBR(가상 머신 기반 루트킷)은 원래 OS 아래에 로드한 다음 해당 OS를 가상 머신에 배치합니다. . 컴퓨터의 OS와 별도로 실행되기 때문에 감지하기가 매우 어렵습니다.

루트킷 예제

새로운 루트킷이 등장하면 즉시 사이버 보안에서 가장 시급한 문제 중 하나가 됩니다. 역사상 가장 잘 알려진 루트킷 예제를 살펴보겠습니다. 일부는 해커가 만들고 나머지는 놀랍게도 대기업에서 만들고 사용합니다.

루트킷이란 무엇이며 어떻게 제거합니까?루트킷 공격의 가장 잘 알려진 몇 가지 예의 타임라인입니다.


  • 1990년: Lane Davis와 Steven Dake는 최초로 알려진 루트킷을 만듭니다. SunOS Unix OS용 Sun Microsystems에서.

  • 1999년: Greg Hoglund는 NTRootkit이라는 트로이 목마 생성을 설명하는 기사를 게시합니다. , Windows용 최초의 루트킷. 커널 모드에서 작동하는 루트킷 바이러스의 예입니다.

  • 2003년: 사용자 모드 HackerDefender 루트킷은 Windows 2000 및 Windows XP용으로 제공됩니다. HackerDefender의 등장은 그것과 안티 루트킷 도구인 RootkitRevealer 사이에 고양이와 쥐 게임을 촉발했습니다.

  • 2004년: 루트킷은 그리스 워터게이트(Greek Watergate)로 알려진 공격에서 그리스 총리가 사용한 전화를 포함하여 보다폰 그리스 네트워크의 100대 이상의 휴대전화를 도청하는 데 사용됩니다. .

  • 2005년: Sony BMG는 불법 복제 방지 도구로 루트킷을 설치한 CD를 소비자의 사전 동의 없이 배포한 후 대규모 스캔들에 휩싸였습니다.

  • 2008년: TDL-4 부트킷(당시 TDL-1) , 봇넷을 생성하고 유지하는 데 사용되는 악명 높은 Alureon 트로이 목마에 연료를 공급합니다.

  • 2009년: 개념 증명 Machiavelli 루트킷 macOS(당시 Mac OS X로 불림)를 대상으로 하여 Mac도 루트킷과 같은 맬웨어에 취약함을 보여줍니다.

  • 2010년: Stuxnet 웜 , 미국과 이스라엘이 공동 개발한 것으로 알려진 이 루트킷은 이란의 핵 프로그램을 표적으로 삼으면서 존재를 숨기기 위해 루트킷을 사용했습니다.

  • 2012년: Flame으로 알려진 20MB 모듈식 멀웨어 — comparatively massive since lots of malware is under 1 MB — wreaks havoc across infrastructure in the Middle East and North Africa.

  • 2018: LoJax is the first rootkit that infects a computer’s UEFI, the firmware that controls the motherboard, letting LoJax survive an operating system reinstall.

  • 2019: This recent rootkit attack comes from Scranos , a rootkit that steals passwords and payment details stored in your browser. And, notably, it turns your computer into a clickfarm to secretly generate video revenue and YouTube subscribers.

Protect your devices with anti-rootkit software

Trusted by over 400 million users around the world, Avast defends against all types of malware, including rootkits. When you install Avast One, you’re equipping yourself with one of the strongest rootkit scanners and removers available. You’ll get rootkit protection at its best — along with a suite of other security and privacy features — absolutely free.