상세 컨텐츠

본문 제목

TrickBot 악성코드, 탐지를 피하기 위해 UEFI/BIOS 부트킷 사용해

국내외 보안동향

by 알약4 2020. 12. 4. 09:36

본문

TrickBot Malware Gets UEFI/BIOS Bootkit Feature to Remain Undetected

 

전 세계에서 가장 악명 높은 악성 봇넷 중 하나인 TrickBot이 툴셋을 확장한 것으로 나타났습니다.

 

Advanced IntelligenceEclypsium에서 “TrickBoot”로 명명한 이 새로운 기능은 공격자가 악성코드를 효과적으로 저장할 수 있도록 기기의 UEFI/BIOS 펌웨어에 악성코드를 주입하는데 악용할 수 있는 알려진 취약점을 기기에서 찾기 위해 쉽게 얻을 수 있는 툴을 사용합니다.

 

UEFI는 어떤 악성코드도 부트 프로세스를 변경하지 않도록 보안을 개선하는 BIOS 대체 펌웨어 인터페이스입니다.

 

UEFIOS 로딩을 가능하게 하기 때문에 이러한 감염은 OS를 재설치하거나 하드 드라이브를 변경하더라도 제거되지 않습니다.

 

 

<이미지 출처: https://thehackernews.com/2020/12/trickbot-malware-gets-uefibios-bootkit.html>

 

 

TrickBot2016년 뱅킹 트로이목마로 처음 활동을 시작했지만 이후 크리덴셜, 이메일, 금융 데이터, Conti/Ryuk 랜섬웨어 등 다른 악성 페이로드로 시스템을 감염시키는 서비스형 악성코드(MaaS)로 진화했습니다.

 

 

<이미지 출처: https://thehackernews.com/2020/12/trickbot-malware-gets-uefibios-bootkit.html>

 

 

가장 일반적인 공격 체인은 주로 Emotet 악성 스팸 캠페인으로 시작되며, 이후 TrickBot과 다른 로더를 불러오고, 공격 중인 피해자 조직과 관련된 목표를 달성하기 위해 PowerShell EmpireCobalt Strike와 같은 다른 공격 툴을 사용합니다.”

 

공격의 마지막 단계에서는 종종 Conti 또는 Ryuk 랜섬웨어가 배포되기도 합니다.”

 

Microsoft Symantec, ESET, FS-ISAC, Lumen에 따르면 해당 봇넷은 현재 백만 대 이상의 컴퓨터를 감염시킨 것으로 나타났습니다.

 

정찰 모듈에서 공격 기능으로

 

TrickBot이 최근 사용하기 시작한 새로운 무기는 타깃 시스템에 랜섬웨어와 UEFI 공격을 한꺼번에 실행하거나, 시스템에 은밀한 UEFI 부트킷을 남겨두어 추후 다시 접근이 가능해 랜섬머니를 협상할 수 있는 여지를 남길 수 있습니다.

 

이 개발은 적들이 탐지를 피하고, 더욱 파괴적이거나 스파잉에 초점을 맞춘 캠페인을 수행하기 위해 기기의 운영 체제를 넘어 더욱 깊숙한 하위 계층을 노리기 시작한다는 것을 보여줍니다.

 

미 사이버 사령부 및 마이크로소프트가 협업하여 TrickBot을 중단시키려 시도한 이후 202010월 처음으로 발견된 TrickBot의 정찰 컴포넌트는 Skylake에서 Comet Lake까지 인텔 기반 시스템을 노리며 감염된 머신의 UEFI 펌웨어 내 취약점을 조사합니다.

 

특히, 연구원들은 TrickBootUEFI/BIOS 펌웨어를 하우징하는 SPI 플래시 칩을 노리고 있는 것을 발견했습니다.

 

이들은 RWEverything 툴의 RwDrv.sys 드라이버의 난독화된 버전을 사용하여 BIOS 제어 레지스터의 잠금이 해제된 상태인지 확인하고, BIOS 영역의 내용이 수정 가능한지 확인했습니다.

 

이 악성코드는 지금까지는 제한적인 정찰 활동만을 수행했지만, 시스템 펌웨어에 악성코드를 쓰고 OS 시스템이 실행되기 전 공격자의 코드가 실행될 수 있게 해 백도어 설치를 위한 길을 닦거나 타깃 기기를 파괴할 수도 있습니다.

 

TrickBot의 크기와 범위를 고려했을 때, 이러한 공격 유형은 심각한 결과를 낳을 수 있습니다.

 

“TrickBoot은 취약한 기기를 벽돌화시킬 수 있는 단 한 줄의 코드입니다.”

 

하지만 광범위한 악성코드 캠페인을 통해 기기를 벽돌화할 수 있을 경우 국가 안보에 엄청난 영향을 미칠 수 있습니다.”

 

이러한 위협을 완화하기 위해서는 펌웨어를 최신 상태로 유지하고, BIOS 쓰기 방지 기능을 활성화 하고, 펌웨어의 무결성을 확인하여 승인되지 않은 무단 수정 공격으로부터 보호하는 것이 좋습니다.

 

 

 

 

출처:

https://thehackernews.com/2020/12/trickbot-malware-gets-uefibios-bootkit.html

https://eclypsium.com/2020/12/03/trickbot-now-offers-trickboot-persist-brick-profit/


관련글 더보기

댓글 영역