2024-03-28 23:55 (목)
실제 사용되고 있는 UEFI 루트킷...LoJax 발견돼
상태바
실제 사용되고 있는 UEFI 루트킷...LoJax 발견돼
  • 페소아 기자
  • 승인 2018.09.30 12:23
이 기사를 공유합니다

code-1785541_640.jpg
러시아 APT그룹인 Sednit(일명 팬시베어 및 APT28)이 운영체제를 재설치하고 하드 드라이버를 교체한 경우에도 감염된 시스템에서 살아남을 수 있는 새로운 루트킷 멀웨어 프로그램의 주범인 것으로 강력하게 의심되고 있다.

루트킷을 발견한 이셋(ESET)연구원은 운영체제와 플랫폼 펌웨어 간의 소프트웨어 인터페이스를 정의하는 UEFI(Unified Extensible Firmware Interface) 사양을 활용하는 UEIF루트킷이 실제 사용되고 있는(in-the-wild) 것을 성공적으로 감지한 것은 이번이 처음이라고 설명한다.

LoJax라고 명명된 이 루트킷은 이미 동유럽 및 발칸반도의 정부 조직을 타겟으로 사용되어 왔으며 이셋은 이에 대한 내용을 블로그 포스트와 컨퍼런스에서 발표된 백서를 통해 공개했다.

LoJax루트킷은 앱솔루트 소프트웨어(Absolute Software)의 LoJack 보안솔루션의 트로이 목마 버전이다.보안 솔루션 LoJax는 많은 노트북 컴퓨터의 펌웨어에 UEFI/BIOS 모듈로 미리 설치되어 있으며 개인이 분실 또는 도난당한 컴퓨터를 추적할 수 있도록 도와준다.같은 이름의 LoJax루트킷은UEFI/BIOS 모듈로 작동하도록 비슷하게 설계되었지만 앱솔루트 소프트웨어의 서버 대신 악의적인 명령 및 제어 서버에 연결하도록 수정되어 있다.

이셋에 따르면 공격자는 이 트로이 목마 프로그램을 UEFI/BIOS 설정에 액세스 할 수 있는 커널 드라이버인 RwDrv.sys를 비롯하여 컴퓨터의 저수준 시스템 설정에서 정보를 읽을 수 있는 무료 유틸리티, 설정데이터를 텍스트 파일로 덤핑하는 제3툴 등의 일련의 추가 도구와 함께 사용하고 있다. 이셋은 “불법 펌웨어 업데이트에 대한 플랫폼의 보호를 우회하는 것은 플랫폼에 따라 달라 시스템 플랫폼에 대한 정보를 수집하는 것이 중요하다”라고 블로그에서 설명했다.

다른 도구는 펌웨어 이미지를 “UEFI/BIOS가 있는 SPI 플래시 메모리를 읽음으로써” 파일로 저정하도록 설계되었다.또 다른 하나는 악의적인 UEFI 모듈을 펌웨어 이미지에 추가하고 이를 SPI플래시 메모리에 다시 쓰거나 잘못 구성된 플랫폼을 악용하거나 인텔 BIOS 취약점을 통해 플랫폼 SPI 플래시 메모리 쓰기 보호를 우회해 시스템에 루트킷을 설치한다.

그들은 블로그를 통해 “펌웨어 이미지에 추가된 UEFI루트킷은 사용자 멀웨어를윈도우즈운영체제 파티션으로 떨어뜨리고 시작시 실행되도록 한다”고 설명한다.

이셋 연구원은 APT그룹의 SedUploader백도어와 명령 및 제어 도메인을 공유하고 있기 때문에 LoJax 루트킷을 Sednit로 분류했으며, LoJax를 목표로 하는 시스템은 일반적으로 SedUploader뿐만 아니라 팬시베어백도어XAgent와 네트워크 프록시툴인 Xtunnel의 흔적을 보였다.

이셋은 사용자가 시큐어 부트(Secure Boot)를 활성화하고 최신 업데이트된 UEFI/BIOS를 사용 및 플랫폼 컨트롤러 허브와 함께 가장 최신 칩셋을 사용하도록 권고했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★