DKOM 기법을 이용한 프로세스 은닉

DKOM

커널에 직접 접근 및 조작하여 권한 상승, 프로세스 은닉 등의 원하는 행위를 하는 기법이다. 일반적인 루트킷 기법과 다르게 사용자 단에서 직접 커널에 접근하여 커널 오브젝트를 수정하는 행위가 가능하다.

Windows에서는 프로세스 리스트를 EPROCESS 구조체에서 이중 링크드 리스트로 구조화하고 있다. EPROCESS 내부의 LIST_ENTRY 구조체이다. LIST_ENTRY 구조체는 전 프로세스를 FLINK, 후 프로세스를 BLINK 변수로 가리킨다. 만약 숨기고자 하는 프로세스가 있다면 FLINK와 BLINK의 값을 변경하여 은닉할 수 있다. 

DKOM을 탐지하는 것은 어렵다?

일반적으로 커널 오브젝트 변경은 오브젝트 매니저를 통해 이루어져야 한다. DKOM의 경우 오브젝트 매니저를 거치지 않기 때문에 커널 오브젝트에 권한을 무시한다. 

프로세스 은닉

디바이스 드라이버 은닉

포트 은닉

스레드, 프로세스 권한 상승 등의 작업을 수행한다.