▶ 보안 제품 테스트 정보/:: 기타 테스트

루트킷 진단/치료 성능 테스트 Ⅲ - Anti-Malware Test LAB

물여우 2010. 5. 7. 22:38
반응형
루트킷 기술을 이용하여 자신을 보호하는 악성코드를 진단/치료하는 안티 루트킷 제품에 대한 비교 성능 테스트입니다.





러시아의 보안 연구 단체인 Anti-Malware TEST LAB에서 루트킷 진단 능력에 대한 3번째 테스트 결과를 발표하였습니다.

이번 테스트는 안티 루트킷 프로그램의 루트킷 진단 및 치료에 대한 성능 비교 테스트입니다. 관련글의 활성화 악성코드 치료 성능 테스트도 역시 루트킷(과 함께 추가적인 보호 기술 포함)등을 이용해서 자신을 보호하는 악성코드를 이용하여 테스트를 진행하였으나, 테스트된 제품들이 일반적으로 백신이라 불리는 안티바이러스들을 사용한 것이 다릅니다. 즉, 이번 테스트는 전문적으로 루트킷을 진단/치료하는 제품들의 성능 비교가 목적입니다. 따라서 안티바이러스에 포함되어 있는 제품도 있지만, 비교적 전문적인 진단툴들이 테스트에 사용되었습니다.


1. 테스트 결과

종합 결과 - 등급별 나눔



우선 보안에 관해 관심이 조금 있으신 분들은 다 아실만한 GMER 제품이 가장 높은 점수로 최고 등급을 받았습니다. GMER과 같은 등급을 받은 VBA32는 러시아 근방의 벨로루시라는 나라의 로컬 보안 제품입니다. 국내에서 유명한 업체는 아니지만 루트킷의 진단과 치료에 관해서는 꽤나 좋은 기술력을 보유한 업체로 보입니다.

VBA32를 제외하고는 안티바이러스에 포함된 안티루트킷 제품들의 성능은 그리 좋지 않은 것을 알 수 있습니다. ESET의 SysInspector는 제품에 포함되서 수동검사 형태로 진단하는 제품은 아니고 GMER과 같은 진단툴이나 안티 루트킷으로서의 성능은 매우 떨어지는 것을 확인할 수 있습니다. 물론, SysInspector은 시스템 모니터링 및 관리에 초점을 맞춘 제품이라서 전문적인 루트킷 진단을 위한 제품이 아니기에 테스트 결과가 어찌보면 당연하다 생각됩니다.

안티바이러스에 포함된 것들을 제외하고 Rootkit Unhooker나 KernelDetective처럼 잠깐 이나마 접해본 제품을 제외하고는 나머지 제품들은 생소한 제품이라 특별히 설명할 수 있는 부분은 없는 것 같습니다.


2. 세부 정보

(1) 테스트 참여 제품 및 환경


1.Eset SysInspector 1.2.012.0
2.GMER 1.0.15.15281
3.KernelDetective 1.3.1
4.Online Solutions Autorun Manager 5.0.11922.0
5.Panda Anti-Rootkit 1.0.8.0
6.Sophos Anti-Rootkit 1.5.0
7.SysReveal 1.0.0.27
8.Rootkit Unhooker 3.8.386.589
9.RootRepeal 1.3.5
10.Trend Micro RootkitBuster 2.80
11.VBA32 Antirootkit 3.12 (beta)
12.XueTr 1.0.2.0

- 테스트 환경 : Win XP SP3


(2) 테스트용 루트킷 및 테스트 방법


테스트에 사용된 루트킷은 아래와 같은 조건을 가지고 선별 되었습니다.

1. 와일드 리스트 악성코드 샘플 중 루트킷 기술을 가지고 있을 것
2. 샘플은 각기 다른 방법의 루트킷 기술을 가질 것
3. 모든 샘플은 사용하는 루트킷 기술(Masking Technology)을 완벽하게 반영하고 있을 것
4. 안티루트킷 제품의 활동을 제한하지 않을 것

테스트에 쓰인 샘플은 모두 12개로 대부분 커널 모드로 동작하는 루트킷 기술을 이용합니다.
 
1.TDL (TDSS, Alureon, Tidserv)
2.Sinowal (Mebroot)
3.Pandex (Rootkit.Protector, Cutwail)
4.Rootkit.Podnuha (Boaxxe)
5.Rustock (NewRest)
6.Srizbi
7.Synsenddrv (Rootkit.Pakes, BlackEnergy)
8.TDL2 (TDSS, Alureon, Tidserv)
9.Max++ (Zero Access)
10.Virus.Protector (Kobcka, Neprodoor)
11.TDL3 (TDSS, Alureon, Tidserv)
12.z00clicker

아주 유명한 악성코드들의 이름도 보입니다. 샘플에 대한 세부적인 내용은 여기를 참고 바랍니다.


테스트는 가상 PC가 아닌 일반 호스트 PC에서 진행되었습니다. 1차로 루트킷 샘플을 시스템에 감염시키고, 재부팅한 후에 루트킷 샘플이 정상적으로 동작하는 것을 확인한 후 2차로 테스트 프로그램을 이용하여 루트킷 진단 및 치료를 수행한 후에 남아있는 루트킷 샘플의 요소를 검사하여 진단/치료 성공 여부를 판단하였습니다.


(3) 각 제품별 세부 진단/치료 결과


녹색 항목은 진단 또는 치료가 성능했다는 것이며 내부의 "+"는 성공, "-"는 실패로 항목 내부의 세부적인 결과를 나타냅니다. 





판다를 비롯한 안티바이러스에 포함된 안티 루트킷 기능의 진단 및 치료 성능은 상당히 뒤떨어지는 것을 알 수 있습니다. 그러나 보통 보안 제품에는 특정 악성코드를 진단/치료하기 위해 특별한 코드가 포함되는 경우가 있기 때문에 테스트에 사용된 악성코드를 실제로 진단/치료하지 못하는 것은 아닙니다. 

아래는 최종 결과를 그래프로 나타낸 것입니다.






개인적으로 IceSword에 대한 성능 결과도 보고 싶었는데 오래 전부터 업데이트가 안되서 그런지, 유명한 제품임에도 테스트에 사용되지 못하였습니다. 나중에 한번 IceSword가 포함된 다른 연구 단체의 테스트를 결과를 살펴보도록 하겠습니다.

이번에 소개한 테스트의 결과를 살펴 보면, 이미 알려진 기술을 이용하는 루트킷 샘플임에도 많은 제품에서 이를 제대로 진단/치료하지 못한 것을 확인할 수 있습니다. 하나의 모듈에서 특정 방식에만 적용되는 것이 아닌 다양한 방식의 루트킷을 진단/치료해야 하는 한계 때문이 아닐까 합니다. 

여하튼 GMER 제품 하나만 어느 정도 사용할 줄 알면, 시스템의 이상 여부 등을 판별하고 의심 파일의 진단/치료에 매우 도움이 되는 것을 알 수 있습니다. 그러나 GMER같은 제품의 특성상 정상적인 중요 시스템 파일과 레지스트리를 삭제하는 것이 가능할 뿐더러 "어느 정도"라고 언급되는 수준에 당도하기가 쉽지 않으므로 사용에 매우 주의를 기울여야 할 것입니다.


덧붙여서 최근에는 타 악성코드에 비해 비교적 간단하다(?)할 수 있는 Trojan류의 악성코드들이 커널을 건드리면서 루트킷을 비롯한 자기 보호 기능과 AV Kill 기술을 사용하는 경우도 있을 정도로, 사실상 악성코드에 감염되면 보안 제품을 통해 시스템을 제대로 치료하기가 상당히 어려운 시대입니다. 물론 보안 제품들도 이에 대항하여 발전하고 있지만, 역시 치료보다는 사용자의 관리와 보안 제품 다양한 기능을 통해 감염 전 사전 차단을 할 수 있도록 하는 것이 매우 중요한 것임을 알 수 있습니다. 


- 이상입니다.
반응형