제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

COMODO LABS에서 : Comodo vs ZeroAccess

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 706

사이버 보안읽기 시간 : 3

Comodo Labs의 보안 엔지니어 및 IT 전문가는 크고 작은 IT 인프라에 대한 파괴와 혼란을 유발하려는 수천 가지 맬웨어 제품군을 지속적으로 분석하고 있으며 Comodo 고객이 이러한 맬웨어 제품군으로부터 안전하게 보호되도록합니다.

악성 코드 공격

블로그 (comblog.comodo.com)에서 진행중인 일련의 게시물에서 코모도의 보안 전문가는 특정 멀웨어 군을 조사하여 코모도의 고급 소프트웨어와 비교합니다.  엔드 포인트 보호 그리고 격리 기술, 그리고 Comodo의 기술이 모든 악성 코드를 물리 치는 방법과 이유에 대해 이야기합니다. Comodo 엔지니어링 Egemen Tas 수석 부사장과 위협 연구 이사 Igor Demihovskiy는 이번 주 제품 마케팅 수석 관리자 Paul Mounkes에게 자신의 의견을 제시했습니다.

루트킷은 어떻게 작동합니까?

루트킷은 많은 사람들이 멀웨어의 범주로 간주하지만 실제로 자체적으로 악성 활동을 수행하지 않는다는 점에서 다릅니다. 그보다는 자신과 페이로드를 탐지에서 숨기고 호스트 시스템에 대한 무제한 액세스를 제공합니다.

루트킷에는 여러 유형이 있으며, 각 루트킷은 마지막 것보다 더 나쁩니다. ZeroAccess 루트킷은 Adobe Flash Player 업데이트에 코드를 삽입하여 시스템 항목을 얻었습니다. UAC 메시지가 시스템 사용자에게 액세스 요청을 경고했을 때 사용자는 신뢰할 수있는 출처 인 Adobe에서 온 것처럼 보이므로 거의 항상이를 허용합니다. 그리고 대부분의 사용자가 관리자 모드에서 실행되기 때문에 ZeroAccess는 즉시 필요한 루트 수준 시스템 액세스 권한을 갖게되었습니다.

ZeroAccess와 같은 고급 루트킷은 커널 수준에서 실행되어 모든 시스템 리소스에 무제한으로 액세스 할 수 있습니다. 다른 사람들은 펌웨어 나 부트 코드에 숨어 OS에서 발견되어 삭제 되더라도 다음에 시스템이 부팅 될 때 스스로 다시 설치됩니다.

루트킷은 무엇을합니까?

목표는 항상 동일합니다. 바이러스 백신과 경쟁하지 않고도 진정한 악성 파일이 작동 할 수 있도록 동작을 숨 깁니다. ZeroAccess는 비활성화와 같은 공격적인 자기 방어 기술을 사용합니다. 바이러스 백신 프로그램보안 설정 재구성, 프로세스 변경 및 / 또는 로깅 비활성화 등이 있습니다.

루트킷이 시스템에서 실행중인 경우 컴퓨터의 탐지, 경고 및 / 또는 로깅 시스템 ( 바이러스 백신 프로그램 악의적 인 행동이 숨겨져 있기 때문에 신뢰할 수 없습니다. 결과적으로 컴퓨터는 사용자에게만 거짓말을하는 것이 아니라 어떤 의미에서는 그 자체로 거짓말을합니다. 그리고 그 동안 맬웨어는 사용자의 로그인 코드를 훔치거나 사용자의 허락없이 컴퓨팅 리소스를 사용합니다.

이 때문에 일단 설치된 루트킷을 제거하는 것은 매우 어렵습니다. 대부분의 경우 하드 드라이브를 지우고 OS를 다시 설치하는 것이 유일한 옵션 일 수 있습니다.

코모도 예방이 핵심

일단 설치되면 루트킷을 제거하는 것이 불가능할 수 있기 때문에 핵심은 처음부터 루트킷이 설치되지 않도록하는 것입니다. 드로퍼가 자신이하는 일을 여러 가지 사악한 방식으로 위장하기 때문에이를 처리 할 수있는 확실한 방법은 하나뿐입니다.

Comodo Advanced Endpoint Protection을 사용하면 설치 프로그램이 보안 격리에서 실행됩니다. 포함 된 모든 실행 파일은 시스템의 하드 드라이브에 대한 직접 액세스가 거부되며 가상 프로세스와 만 상호 작용할 수 있습니다. 관리자 액세스가 허용되지 않으므로 커널 수준에서 설치할 수 없습니다.

격리 상태에서 실행되는 동안 파일은 Comodo의 멀티 레이어 로컬 및 클라우드 기반 악성 코드 분석. 필요한 경우 Comodo의 클라우드 기반 전문 위협 분석 보호 계층 (STAP)은 전문가의 개입을 요청할 수도 있습니다. 알려진 불량 판정이 반환되면 아무 일도 일어나지 않은 것처럼 가상 컨테이너가 삭제됩니다.

회사의 IT 환경이 피싱, 맬웨어, 스파이웨어 또는 사이버 공격으로 공격을 받고 있다고 생각되면 Comodo Labs의 보안 컨설턴트에게 문의하십시오. https://enterprise.comodo.com/contact-us.php

관련 자료 :

제로 트러스트

Zero Day Malware 란 무엇입니까?

이메일 보안 테스트 인스턴트 보안 점수를 무료로 받으십시오 출처 : https://blog.comodo.com/comodo-news/comodo-vs-zeroaccess/

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.

우리와 함께 채팅

안녕하세요! 어떻게 도와 드릴까요?