루트킷과 부트킷

1부. 루트킷


1장. 루트킷에 들어있는 것: TDL3 사례 연구
__TDL3 전파의 역사
__감염 루틴
__데이터 흐름 제어
____자체 링커 도입
____TDL3의 커널 모드 후킹이 동작하는 방식
__숨겨진 파일 시스템
__결론: TDL3 천적을 만나다


2장. Festi 루트킷: 가장 진보된 스팸과 DDoS 봇
__Festi 봇넷 사례
__루트킷 드라이버 상세 분석
____C&C 통신에 대한 Festi 설정 정보
____Festi의 객체지향 프레임워크
____플러그인 관리
____내장 플러그인
____가상 머신 방어 기법
____안티디버깅 기법
____디스크에서 악성 드라이버를 숨기는 방법
____Festi 레지스트리 키를 보호하는 방법
__Festi 네트워크 통신 프로토콜
____초기화 단계
____작업 단계
__보안 및 포렌식 소프트웨어 우회
__C&C 중단에 대비한 도메인 생성 알고리듬
__악성 기능
____스팸 모듈
____DDoS 엔진
____Festi 프록시 플러그인
__결론


3장. 루트킷 감염 관찰
__가로채기 기법
____시스템 이벤트 가로채기
____시스템 콜 가로채기
____파일 동작 가로채기
____객체 디스패처 가로채기
__시스템 커널 복원
__위대한 루트킷들의 기술 경쟁: 추억의 노트
__결론


2부. 부트킷


4장. 부트킷의 진화
__최초의 부트킷
____부트 섹터 감염자
____엘크 클로너와 Load Runner
____브레인 바이러스
__부트킷의 진화
____BSI 시대의 끝
____커널 모드 코드 서명 정책
____시큐어 부트의 부상
__최신 부트킷
__결론


5장. 운영체제 부트 프로세스
__윈도우 부트 프로세스의 상위 레벨 개요
__레거시 부트 프로세스
__윈도우 부트 프로세스
____BIOS와 사전 부트 환경
____마스터 부트 레코드
____볼륨 부트 레코드와 초기 프로그램 로더
____bootmgr 모듈과 부트 설정 데이터
__결론


6장. 부트 프로세스 보안
__조기 실행 안티멀웨어 모듈
____API 콜백 함수
____부트킷이 ELAM을 우회하는 방법
__마이크로소프트 커널 모드 코드 서명 정책
____무결성 검사 대상 커널 모드 드라이버
____드라이버 서명의 위치
____기존 코드 무결성의 약점
____ci.dll 모듈
____방어를 위한 윈도우 8 변경 사항
__시큐어 부트 기술
__윈도우 10의 가상화 기반 보안
____2단계 주소 변환
____가상화 보안 모드와 디바이스 가드
____드라이버 개발에 대한 디바이스 가드 제약
__결론


7장. 부트킷 감염 기법
__MBR 감염 기법
____MBR 코드 변조: TDL4 감염 기법
____MBR 파티션 테이블 수정
__VBR/IPL 감염 기술
____IPL 변조: Rovnix
____VBR 감염: Gapz
__결론


8장. IDA Pro를 이용한 부트킷 정적 분석
__Bootkit MBR 분석
____MBR 로드와 복호화
____BIOS 디스크 서비스 분석
____감염된 MBR의 파티션 테이블 분석
__VBR 분석 기법
____IPL 분석
____다른 부트킷 컴포넌트 평가
__고급 IDA Pro 사용법: 사용자 정의 MBR 로더 작성
____loader.hpp 이해
____accept_file 구현
____load_file 구현
____파티션 테이블 구조체 생성
__결론
__연습문제


9장. 부트킷 동적 분석: 에뮬레이션과 가상화
__Bochs를 이용한 에뮬레이션
____Bochs 설치
____Bochs 환경 구축
____디스크 이미지 감염
____Bochs 내장 디버거 사용
____Bochs와 IDA의 연동
__VMware 워크스테이션을 통한 가상화
____VMware Workstation 설정
____VMware GDB와 IDA의 조합
__마이크로소프트 하이퍼-V와 오라클 VirtualBox
__결론
__연습문제


10장. MBR과 VBR 감염 기법의 발전: Okmasco
__드로퍼
____드로퍼의 리소스
____향후 개발을 위한 추적 기능
____안티디버깅 방지와 안티에뮬레이션 기법
__부트킷 기능
____부트킷 감염 기술
____감염된 시스템의 부트 프로세스
__루트킷 기능
____하드 드라이브 디바이스 객체 후킹과 페이로드 인젝션
____숨겨진 파일 시스템 유지 관리
____네트워크 우회 통신을 위한 전송 계층 드라이버 인터페이스 구현
__결론


11장. IPL 부트킷: Rovnix와 Carberp
__Rovnix의 발전
__부트킷 아키텍처
__시스템 감염
__감염 후 부트 프로세스와 IPL
____다형성 복호화 코드 구현
____VMware와 IDA Pro로 Rovnix 부트로더 복호화
____윈도우 부트로더 패치를 통한 제어권 획득
____악성 커널 모드 드라이버 로드
__커널 모드 드라이버의 기능
____페이로드 모듈 인젝션
____은폐형 자기 방어 메커니즘
숨겨진 파일 시스템
____파티션을 가상 FAT 시스템으로 포맷
____숨겨진 파일 시스템 암호화
____숨겨진 파일 시스템 접근
__숨겨진 통신 채널
__사례 연구: Carberp와의 관계
____Carberp의 개발
____Dropper의 개선
____유출된 소스코드
__결론


12장. Gapz: 진보된 VBR 감염
__Gapz 드로퍼
____드로퍼 알고리듬
____드로퍼 분석
____HIPS 우회
__Gapz 부트킷으로 시스템 감염
____BIOS 파라미터 블록 검토
____VBR 감염
____악성 커널 모드 드라이버 로드
__Gapz 루트킷 기능
__숨겨진 스토리지
____멀웨어 방지 소프트웨어에 대한 자기 방어
____페이로드 인젝션
____페이로드 통신 인터페이스
____자체 네트워크 프로토콜 스택
__결론


13장. MBR 랜섬웨어의 부상
__랜섬웨어의 간략한 역사
__부트킷 기능이 있는 랜섬웨어
__랜섬웨어 동작 방식
__Petya 랜섬웨어 분석
____관리자 권한 획득
____하드 드라이브 감염(1단계)
____악성 부트로더 설정 데이터 암호화
____시스템 크래시
____MFT 암호화(2단계)
____마무리: Petya에 대한 최종 고찰
__Satana 랜섬웨어 분석
____Satana 드로퍼
____MBR 감염
____드로퍼 디버그 정보
____Satana 악성 MBR
____마무리: Satana에 대한 최종 생각
__결론


14장. UEFI 부팅과 MBR/VBR 부트 프로세스
__통합된 확장 가능 펌웨어 인터페이스
__레거시 BIOS와 UEFI 부트 프로세스의 차이점
____부트 프로세스 흐름
____디스크 파티셔닝: MBR과 GPT
____기타 차이점
__GUID 파티션 테이블 규격
__UEFI 펌웨어 동작 방식
____UEFI 규격
____운영체제 로더 내부
____윈도우 부트로더
____UEFI 펌웨어의 보안 이점
__결론


15장. 최신 UEFI 부트킷
__BIOS 위협의 역사
____WinCIH, BIOS를 공격하는 최초의 멀웨어
____Mebromi
____기타 위협과 대응
__모든 하드웨어에 있는 펌웨어
____UEFI 펌웨어 취약점
____메모리 보호 비트의 효과
____보호 비트 확인
__BIOS를 감염시키는 방법
____서명되지 않은 UEFI 옵션 ROM 수정
____DXE 드라이버 추가나 수정
__루트킷 인젝션의 이해
__실제 UEFI 루트킷
____해킹 팀의 Vector-EDK 루트킷
__결론


16장. UEFI 펌웨어 취약점
__펌웨어를 취약하게 만드는 것
__UEFI 펌웨어 취약점 분류
____취약점 공격 이후
____감염된 공급망 취약점
____공급망 취약점 완화
__UEFI 펌웨어 보호의 역사
____BIOS 보호 동작 방식
____SPI 플래시 보호 및 취약성
____인증되지 않은 BIOS 업데이트의 위험
____시큐어 부트를 통한 BIOS 보호
__인텔 부트 가드
____인텔 부트 가드 기술
____부트가드의 취약점
__SMM 모듈의 취약점
____SMM 이해
____SMI 핸들러 취약점 공격
__S3 부트 스크립트의 취약점
____S3 부트 스크립트 이해
____S3 부트 스크립트 취약점 공략
____S3 부트 스크립트 취약점 공격
____S3 부트 스크립트 취약점 수정
__인텔 관리 엔진의 취약점
____ME 취약점의 역사
____ME 코드 공격
____사례 연구: 인텔 AMT과 BMC에 대한 공격
__결론


3부. 방어와 포렌식 기법


17장. UEFI 시큐어 부트 동작 방식
__시큐어 부트란?
__UEFI 시큐어 부트의 세부 구현
____부팅 절차
____디지털 서명을 통한 실행 파일 인증
____db 데이터베이스
____dbx 데이터베이스
____시간 기반 인증
____시큐어 부트 키
____UEFI 시큐어 부트: 전체 그림
____시큐어 부트 정책
____시큐어 부트를 이용한 부트킷 방어
__시큐어 부트 공격
____시큐어 부트 비활성화를 위한 PI 펌웨어 패치
____보안 검사를 우회하기 위한 UEFI 변수 수정
__검증 부트와 계측 부트를 통한 시큐어 부트 보호
____검증 부트
____계측 부트
__인텔 부트가드
____ACM 찾기
____FIT 분석
____인텔 부트가드 설정
__ARM 신뢰 부트 보드
____ARM 신뢰 영역
____ARM 부트로더
____신뢰 부트 흐름
__검증 부트와 펌웨어 루트킷
__결론


18장. 숨겨진 파일 시스템 분석 접근 방식
__숨겨진 파일 시스템 개요
__숨겨진 파일 시스템의 부트킷 데이터 추출
____전원이 꺼진 시스템의 데이터 가져오기
____동작 중인 시스템에서 데이터 읽기
____미니포트 스토리지 드라이버 후킹
__숨겨진 파일 시스템 이미지 파싱
__HiddenFsReader 도구
__결론


19장. BIOS/UEFI 포렌식: 펌웨어 수집과 분석 접근 방법
__포렌식 기술의 제약
__펌웨어 포렌식이 중요한 이유
____공급망 공격
____펌웨어 취약점을 통한 BIOS 감염
__펌웨어 수집의 이해
__소프트웨어 방식의 펌웨어 수집
____PCI 설정 영역 레지스터 찾기
____SPI 설정 레지스터 주소 계산
____SPI 레지스터 사용
____SPI 플래시에서 데이터 읽기
____소프트웨어 접근 방식의 단점 고려
__펌웨어 수집에 대한 하드웨어 접근 방식
____레노버 싱크패드 T540p 사례 연구 검토
____SPI 플래시 메모리칩 찾기
____FT2232 미니 모듈로 SPI 플래시 읽기
__UEFITool로 펌웨어 이미지 분석
____SPI 플래시 영역 알아보기
____UEFITool로 SPI 플래시 영역 살펴보기
____BIOS 영역 분석
__Chipsec으로 펌웨어 이미지 분석
____Chipsec 아키텍처 알아보기
____Chipsec 유틸로 펌웨어 분석
__결론