반응형
잉카인터넷의 nProtect MBR Guard는 3.3 DDoS 중 MBR의 코드를 0으로 Overwrite 시키는 악성파일을 차단하기 위해 만들어진
MBR 보호 프로그램이다.
자세한 내용은 아래의 링크에서 확인하시길~
- 3.3 DDoS 하드디스크 파괴 차단 프로그램 nProtect MBR Guard 무료 배포
잉카인터넷(시큐리티대응센터)에서 제공하는 "nProtect MBR Guard" 프로그램은 이러한 하드디스크의 MBR 영역 위변조를 원천적으로 차단하는 것을 주요 기능으로 하며, 이를 위해 윈도우상의 API 함수에 대한 흐름을 파악하여 해당 영역의 "Overwrite"를 제한하는 등의 Command-Filter Driver 방식을 채용하였다.
이는 PC 사용에 있어서 매우 중요한 물리적 드라이브의 무결성 확보 및 시스템 보호를 위한 최소한의 요소이며, 안전한 컴퓨터 사용을 위해서 반드시 보호되어야 하는 영역이다.
"nProtect MBR Guard" 는 드라이버 Layer 에 상주하여 모든 악의적 명령으로 부터 하드디스크(MBR) 를 보호하게 된다. 하드디스크상의 일반 드라이브 (C:\, D:\ 등) 영역은 Volume 으로 마운트 되어 File System Filter 모듈 등을 통해 해당 영역 보호가 가능하나, 부팅 시 필요한 하드디스크(MBR) 영역은 같은 방법으로 보호가 불가능하다. 때문에 하드디스크(MBR) 영역을 관장하고 있는 Disk.sys Driver 를 필터링 하는 "nProtect MBR Guard" 을 사용하여 다양한 Disk I/O의 흐름을 파악하고 차단할 수 있는 "Disk Filter" 방식을 채택하였다.
최근 MBR 수정 악성파일이 지속적으로 확인되면서, nProtect MBR Guard 를 테스트 해보기로 했다.
간단하게 동영상으로 확인해 보자.
- 운영체제 : Windows XP SP2
- 프로그램 : nProtect MBR Guard v2(2.0.1.4) 버전
(동영상 원본으로 볼 때에는 잘 보였는데 ㅠ.ㅠ 업로드 하고 나니~ 영 안보인네...ㅡㅡ;;)
영상으로 확인이 힘들듯 해서 바뀐 MBR을 스크린샷 하였다.
결과적으로 해당 파일의 MBR 변조는 nProtect MBR Guard 가 지켜주지 못했다 ㅠ.ㅠ
nProtect MBR Guard 는 Disk Filter 방식을 채택하고 있다고 하였는데,
해당 악성파일의 MBR 수정코드를 분석하지 않았기 때문에 어떤점에서 우회를 한것인지, 아니면 다른 방식을 쓴 것인지
확인하고 프로그램의 수정이 필요할 것으로 보인다.
'IT 보안소식' 카테고리의 다른 글
| "가짜 사이버경찰청 홈페이지"을 통해 개인정보를 가로채는 피싱(Phishing)사이트 주의 (2) | 2011.09.20 |
|---|---|
| 하나SK카드(HanaSK CARD), 고객정보 5만건 개인정보유출 사건(9월 19일) (2) | 2011.09.19 |
| MBR(Master Boot Record)감염으로 재생성되는 lpk.dll 악성코드 주의!! (0) | 2011.09.18 |
| 바이오스 루트킷(BIOS Rootkit), Mebromi(MyBios) Bios Rootkit + MBR infected (0) | 2011.09.15 |
| 애플(Apple), "고장 난 아이폰을 새폰으로 교환?" 애플사의 새로운 A/S 정책 변경사항 (0) | 2011.09.14 |
댓글