이 프로그램은 2001년 1월, 보안 소프트웨어 무력화 기술의 악용이 국가 사이버 보안 차원의 위협으로 판단되어 영구 배포 중지되었습니다.
개요
IronShield Bypass는 보안 소프트웨어를 보안 소프트웨어 자신도 모르게 무력화하는 도구입니다. 백신의 실시간 감시를 중지하고, 방화벽의 차단 규칙을 삭제하며, 보안 프로그램의 자가 보호 메커니즘을 커널 레벨에서 우회합니다.
GhostRAT, HydraRAT 등 다른 도구들이 탐지를 회피하는 데 집중했다면, IronShield Bypass는 탐지 시스템 자체를 제거합니다. 문을 피하는 것이 아니라, 문 자체를 없애는 접근입니다.
무력화 대상
| 보안 소프트웨어 | 무력화 방법 | 소요 시간 |
|---|---|---|
| V3 (안철수연구소) | 서비스 강제 종료 + 드라이버 언로드 | 0.3초 |
| 바이로봇 (하우리) | 프로세스 토큰 조작 + 권한 해제 | 0.5초 |
| Norton AntiVirus | 커널 콜백 제거 + 미니필터 우회 | 0.8초 |
| McAfee VirusScan | 서비스 종속성 파괴 + DLL 언로드 | 0.4초 |
| ZoneAlarm 방화벽 | NDIS 필터 드라이버 제거 + 룰 초기화 | 1.2초 |
핵심 기술
커널 레벨 공격
보안 소프트웨어는 사용자 모드에서 자신을 보호합니다. IronShield Bypass는 커널 모드(Ring 0)에서 공격하여 보안 소프트웨어의 보호 메커니즘을 근본적으로 무력화합니다.
- SSDT 후킹 제거 — 백신이 시스템 콜을 감시하기 위해 설치한 후킹을 제거
- 커널 콜백 해제 — 프로세스 생성/파일 접근 감시 콜백을 비활성화
- 미니필터 우회 — 파일 시스템 필터 드라이버를 우회하여 백신의 파일 검사를 무효화
- NDIS 필터 제거 — 방화벽의 네트워크 필터 드라이버를 언로드
자가 보호 우회
최신 보안 소프트웨어는 자신의 프로세스가 종료되지 않도록 보호합니다. IronShield Bypass는 이를 우회합니다:
- 보안 프로세스의 접근 토큰을 조작하여 권한을 해제
- 보안 서비스의 종속성 체인을 파괴하여 자동 재시작 방지
- 보안 드라이버를 커널 메모리에서 직접 패치하여 비활성화
GhostRAT 연동
IronShield Bypass는 다른 도구들의 선행 공격 도구로 설계되었습니다. 먼저 IronShield Bypass로 보안 소프트웨어를 무력화한 후, GhostRAT이나 HydraRAT을 설치하면 어떤 보안 소프트웨어도 탐지할 수 없는 상태가 됩니다.
배포 중지
보안 소프트웨어를 무력화하는 도구의 존재는 사이버 보안의 근간을 흔드는 것이었습니다. 백신을 설치해도 의미가 없다면, 일반 사용자는 어떻게 자신을 보호할 수 있겠습니까. 이 도구가 다른 악성코드의 선행 공격에 체계적으로 사용되기 시작하면서, 국가 차원의 사이버 보안 위협으로 분류되었습니다.
- 커널 공격 모듈 소스코드 삭제
- 보안 소프트웨어별 우회 시그니처 삭제
- GhostRAT 연동 프로토콜 문서 삭제
- 배포 서버 폐쇄
- 보안 무력화 도구 개발 영구 중단
"방패를 부수는 창을 만들었다. 하지만 방패가 없는 세상은 모두에게 위험하다는 것을 너무 늦게 깨달았다."
기술 사양
| 개발 언어 | C + x86 Assembly (커널 드라이버) |
| 소스코드 | 15,000줄, 커널 모듈 포함 (현재 삭제) |
| 핵심 기술 | SSDT 후킹 제거, 커널 콜백 해제, 미니필터 우회, NDIS 필터 제거 |
| 무력화 대상 | V3, 바이로봇, Norton, McAfee, ZoneAlarm 등 12종 |
| 지원 OS | Windows 98 / NT 4.0 / 2000 |
| 실행 파일 크기 | 드라이버 18KB / 컨트롤러 95KB |
| 개발 기간 | 1999년 10월 ~ 2000년 11월 |
| 최종 상태 | 영구 배포 중지 · 소스 삭제 (2001년 1월) |