맬웨어 방지 조기 실행
플랫폼
클라이언트 - Windows 8
서버 - Windows Server 2012
Description
AM(맬웨어 방지) 소프트웨어가 런타임 맬웨어를 검색하는 데 점점 더 좋아짐에 따라 공격자는 탐지로부터 숨길 수 있는 루트킷을 만드는 데 더 잘 활용되고 있습니다. 부팅 주기 초기에 시작되는 맬웨어를 감지하는 것은 대부분의 AM 공급업체가 부지런히 해결해야 하는 과제입니다. 일반적으로 호스트 운영 체제에서 지원되지 않는 시스템 해킹을 만들며 실제로 컴퓨터를 불안정한 상태로 만들 수 있습니다. 지금까지 Windows는 AM이 이러한 초기 부팅 위협을 감지하고 resolve 수 있는 좋은 방법을 제공하지 않았습니다.
Windows 8 Windows 부팅 구성 및 구성 요소를 보호하고 ELAM(맬웨어 방지 조기 실행) 드라이버를 로드하는 보안 부팅이라는 새로운 기능을 도입했습니다. 이 드라이버는 다른 부팅 시작 드라이버 전에 시작하고 해당 드라이버를 평가할 수 있도록 하며 Windows 커널이 초기화할지 여부를 결정하는 데 도움이 됩니다.
형상
커널에 의해 먼저 시작되면 ELAM은 타사 소프트웨어 전에 실행되도록 보장되므로 부팅 프로세스에서 맬웨어를 감지하고 초기화하지 못하게 할 수 있습니다.
완화 방법
부팅 드라이버는 초기화 정책에 따라 ELAM 드라이버에서 반환되는 분류에 따라 초기화됩니다. 기본적으로 정책은 알려진 양수 및 알 수 없는 드라이버를 초기화하지만 알려진 잘못된 드라이버를 초기화하지는 않습니다. 시스템 관리자는 알 수 없는 드라이버가 초기화되지 않도록 하거나 부팅 프로세스에 중요하지만 변조된 드라이버를 초기화할 수 있는 그룹 정책 통해 사용자 지정 정책을 지정할 수 있습니다.
솔루션
ELAM 드라이버는 초기화할 때 각 부팅 시작 드라이버에 대한 정보를 얻으려면 커널 콜백에 등록해야 합니다. 그런 다음 ELAM 드라이버는 각 드라이버에 대한 분류를 반환할 수 있습니다. 이러한 함수는 다음과 같습니다.
ELAM 드라이버는 레지스트리 콜백에 등록할 수도 있습니다. 이렇게 하면 ELAM 드라이버가 각 부팅 시작 드라이버에서 사용하는 구성 데이터를 검사할 수 있습니다. 그런 다음 ELAM 드라이버는 필요한 경우 부팅 시작 드라이버에서 사용되기 전에 데이터를 차단하거나 수정할 수 있습니다. 이러한 함수는 다음과 같습니다.
ELAM 드라이버 요구 사항 및 API 사용에 대한 자세한 내용은 맬웨어 방지 조기 시작을 참조하세요.
테스트
ELAM 드라이버는 부팅 프로세스 초기에 Windows 커널에서 시작되도록 Microsoft에서 특별히 서명해야 합니다. 서명을 얻으려면 ELAM 드라이버가 일련의 인증 테스트를 통과하여 성능 및 기타 동작을 확인해야 합니다. 이러한 테스트는 Windows 하드웨어 인증 키트에 포함되어 있습니다.
리소스
- 맬웨어 방지 조기 시작
- CmRegisterCallbackEx
- CmUnRegisterCallback
- IoRegisterBootDriverCallback
- IoUnRegisterBootDriverCallback
- Windows 하드웨어 인증 키트 빌드 회의 프레젠테이션을 사용하여 하드웨어 인증
- 키트 및 도구 다운로드