플랫폼
클라이언트 - Windows 8
서버 - Windows Server 2012
묘사
AM(맬웨어 방지) 소프트웨어가 런타임 맬웨어를 검색하는 데 점점 더 좋아짐에 따라 공격자는 탐지에서 숨길 수 있는 루트킷을 만드는 데 더 적합해지고 있습니다. 부팅 주기 초기에 시작되는 맬웨어를 감지하는 것은 대부분의 AM 공급업체가 부지런히 해결해야 하는 과제입니다. 일반적으로 호스트 운영 체제에서 지원되지 않고 실제로 컴퓨터를 불안정한 상태로 만들 수 있는 시스템 해킹을 만듭니다. 지금까지 Windows는 AM이 이러한 초기 부팅 위협을 감지하고 해결하는 좋은 방법을 제공하지 않았습니다.
Windows 8에서는 Windows 부팅 구성 및 구성 요소를 보호하고 ELAM(조기 실행 맬웨어 방지) 드라이버를 로드하는 보안 부팅이라는 새로운 기능을 도입했습니다. 이 드라이버는 다른 부팅 시작 드라이버 전에 시작하고 해당 드라이버를 평가할 수 있도록 하며 Windows 커널에서 초기화 여부를 결정하는 데 도움이 됩니다.
형상
커널에 의해 먼저 시작되면 ELAM은 타사 소프트웨어 전에 실행되도록 보장되므로 부팅 프로세스에서 맬웨어를 감지하고 초기화하지 못하게 할 수 있습니다.
완화
부팅 드라이버는 초기화 정책에 따라 ELAM 드라이버에서 반환되는 분류에 따라 초기화됩니다. 기본적으로 정책은 알려진 정상 및 알 수 없는 드라이버를 초기화하지만 알려진 잘못된 드라이버를 초기화하지는 않습니다. 시스템 관리자는 그룹 정책을 통해 알 수 없는 드라이버가 초기화되지 않도록 하거나 부팅 프로세스에 중요하지만 변조된 드라이버가 초기화되도록 설정할 수 있는 사용자 지정 정책을 지정할 수 있습니다.
용액
ELAM 드라이버는 초기화할 때 각 부팅 시작 드라이버에 대한 정보를 얻으려면 커널 콜백에 등록해야 합니다. 그런 다음 ELAM 드라이버는 각 드라이버에 대한 분류를 반환할 수 있습니다. 이러한 함수는 다음과 같습니다.
ELAM 드라이버는 레지스트리 콜백에 등록할 수도 있습니다. 이렇게 하면 ELAM 드라이버가 각 부팅 시작 드라이버에서 사용하는 구성 데이터를 검사할 수 있습니다. 그런 다음 필요한 경우 ELAM 드라이버는 부팅 시작 드라이버에서 사용되기 전에 데이터를 차단하거나 수정할 수 있습니다. 이러한 함수는 다음과 같습니다.
ELAM 드라이버 요구 사항 및 API 사용에 대한 자세한 내용은 조기 실행 맬웨어 방지참조하세요.
테스트
ELAM 드라이버는 부팅 프로세스 초기에 Windows 커널에서 시작되도록 Microsoft에서 특별히 서명해야 합니다. 서명을 받으려면 ELAM 드라이버가 성능 및 기타 동작을 확인하기 위해 일련의 인증 테스트를 통과해야 합니다. 이러한 테스트는 Windows 하드웨어 인증 키트에 포함되어 있습니다.
리소스
- 맬웨어 방지 초기 실행
- CmRegisterCallbackEx
- CmUnRegisterCallback
- IoRegisterBootDriverCallback
- IoUnRegisterBootDriverCallback
- Windows 하드웨어 인증 키트 빌드 컨퍼런스 프레젠테이션 사용하여 하드웨어 인증
- 키트 및 도구 다운로드