2017.03.10

CIA 루트킷 형태의 공격 감지··· 인텔 시큐리티, EFI 감염 방지 툴 공개

Lucian Constantin | IDG News Service
인텔 시큐리티가 컴퓨터 내 저수준 시스템 펌웨어 상태를 확인할 수 있는 도구를 공개했다. 펌웨어가 변형됐는지, 인증되지 않은 코드가 내장됐는지를 확인하게 해주는 툴이다. 지난 7일 CIA가 애플 맥북 컴퓨터용 EFI(Extensible Firmware Interface) 루트킷을 개발했다는 내용의 문서가 폭로된 후 이어진 조치다.

루트킷이란 고수준 권한(대개 커널에 내장)으로 동작하는 악성 프로그램으로 여타 악성 요소와 활동의 존재를 감추는 역할을 수행할 수 있다.

CIA의 EDB(Embedded Development Branch)에서 작성된 이 문서는, 'DerStarke'라고 불리는 OS X '이식물'(implant)의 존재를 언급하고 있다. 이는 '보코'(Bokor)이라고 불리는 코드 인젝션 모듈과 '다크매터'(DarkMatter)이라고 불리는 EFI 퍼시스턴스 모듈을 포함하고 있다.

UEFI(Unified EFI)라고도 알려진 EFI는 운영체제 하단에서 동작하는 저수준 펌웨어로, 부팅 과정에서 각종 하드웨어 요소의 기동을 지원한다. 과거의 바이오스를 대체하며, 일종의 미니 OS와 유사하다. 흔히 실행 가능한 바이너리 형태로 내장된 각종 기능을 실행하는 수백개의 '프로그램'을 내장하고 있다.

EFI에 숨겨진 악성 프로그램은 OS 커널에 악성 코드를 주입할 수 있으며, 컴퓨터로부터 제거된 맬웨어를 복구시켜 동작하도록 할 수 있다. 이러한 특성은 시스템 업데이트나 재설치를 진행해도 악성 프로그램이 다시 활동할 수 있게 해준다.

CIA EDB 문서에는 다크매터에 이은 두번째 프로젝트의 존재도 확인됐다. 쿼크매터(QuarkMatter)이라고 불리는 이 존재는 'EFI 시스템 파티션 상에 저장된 EFI 드라이버를 이용하는 맥 OS X EFI 이식물'로 묘사됐다. 목적은 커널을 지속적으로 조작하는 것이다.


CHIPSEC 도구는 EFI 콘텐츠를 분석할 수 있다.

인텔 시큐리티 ATR(The Advanced Threat Research) 팀은 악성 EFI 바이너리르 감지할 수 있도록 기존의 CHIPSEC 오픈소스 프레임워크에 대한 신형 모듈을 개발했다. CHIPSEC는 시스템 하드웨어, 펌웨어, 플랫폼 구성물을 분석하기 위한 저수준 인터페이스를 활용하는 명령줄 도구 세트로 구성돼 있다. 지원하는 운영체제는 윈도우, 리눅스, 맥OS 상에서 동작할 수 있으며, 심지어 EFI 셸에서도 동작 가능하다.

인텔 시큐리티 측은 새로운 CHIPSEC 모듈을 이용함으로써 컴퓨터 제조사가 개발한 깨끗한 EFI 이미지를 유지할 수 있다고 설명했다. 제조사의 이미지에서 콘텐츠를 추출해 내부 바이너리 파일 화이트리스트를 구축한 다음, 현재의 EFI와 비교하는 방식을 이용해서다.

만약 깨끗한 EFI 리스트와 다른 바이너리 파일이 발견될 경우 펌웨어가 감염된 신호일 수 있기에 해당 악성 파일은 목록화되고 추후 분석 작업을 거치게 된다.

인텔 시큐리티 연구진은 블로그 포스트를 통해 "시스템을 구입한 직후, 또는 감염되지 않았음이 확인된 이후 EFI '화이트리스트'를 생성할 것을 권장한다. 이후 정기적으로, 또는 감염이 의심될 때 시스템 상의 EFI 펌웨어를 검사하면 된다"라고 전했다.

한편 맥 및 맥북 버전용 EFI 펌웨어 업데이트는 애플 지원 사이트에서 다운로드 받을 수 있다. ciokr@idg.co.kr



2017.03.10

CIA 루트킷 형태의 공격 감지··· 인텔 시큐리티, EFI 감염 방지 툴 공개

Lucian Constantin | IDG News Service
인텔 시큐리티가 컴퓨터 내 저수준 시스템 펌웨어 상태를 확인할 수 있는 도구를 공개했다. 펌웨어가 변형됐는지, 인증되지 않은 코드가 내장됐는지를 확인하게 해주는 툴이다. 지난 7일 CIA가 애플 맥북 컴퓨터용 EFI(Extensible Firmware Interface) 루트킷을 개발했다는 내용의 문서가 폭로된 후 이어진 조치다.

루트킷이란 고수준 권한(대개 커널에 내장)으로 동작하는 악성 프로그램으로 여타 악성 요소와 활동의 존재를 감추는 역할을 수행할 수 있다.

CIA의 EDB(Embedded Development Branch)에서 작성된 이 문서는, 'DerStarke'라고 불리는 OS X '이식물'(implant)의 존재를 언급하고 있다. 이는 '보코'(Bokor)이라고 불리는 코드 인젝션 모듈과 '다크매터'(DarkMatter)이라고 불리는 EFI 퍼시스턴스 모듈을 포함하고 있다.

UEFI(Unified EFI)라고도 알려진 EFI는 운영체제 하단에서 동작하는 저수준 펌웨어로, 부팅 과정에서 각종 하드웨어 요소의 기동을 지원한다. 과거의 바이오스를 대체하며, 일종의 미니 OS와 유사하다. 흔히 실행 가능한 바이너리 형태로 내장된 각종 기능을 실행하는 수백개의 '프로그램'을 내장하고 있다.

EFI에 숨겨진 악성 프로그램은 OS 커널에 악성 코드를 주입할 수 있으며, 컴퓨터로부터 제거된 맬웨어를 복구시켜 동작하도록 할 수 있다. 이러한 특성은 시스템 업데이트나 재설치를 진행해도 악성 프로그램이 다시 활동할 수 있게 해준다.

CIA EDB 문서에는 다크매터에 이은 두번째 프로젝트의 존재도 확인됐다. 쿼크매터(QuarkMatter)이라고 불리는 이 존재는 'EFI 시스템 파티션 상에 저장된 EFI 드라이버를 이용하는 맥 OS X EFI 이식물'로 묘사됐다. 목적은 커널을 지속적으로 조작하는 것이다.


CHIPSEC 도구는 EFI 콘텐츠를 분석할 수 있다.

인텔 시큐리티 ATR(The Advanced Threat Research) 팀은 악성 EFI 바이너리르 감지할 수 있도록 기존의 CHIPSEC 오픈소스 프레임워크에 대한 신형 모듈을 개발했다. CHIPSEC는 시스템 하드웨어, 펌웨어, 플랫폼 구성물을 분석하기 위한 저수준 인터페이스를 활용하는 명령줄 도구 세트로 구성돼 있다. 지원하는 운영체제는 윈도우, 리눅스, 맥OS 상에서 동작할 수 있으며, 심지어 EFI 셸에서도 동작 가능하다.

인텔 시큐리티 측은 새로운 CHIPSEC 모듈을 이용함으로써 컴퓨터 제조사가 개발한 깨끗한 EFI 이미지를 유지할 수 있다고 설명했다. 제조사의 이미지에서 콘텐츠를 추출해 내부 바이너리 파일 화이트리스트를 구축한 다음, 현재의 EFI와 비교하는 방식을 이용해서다.

만약 깨끗한 EFI 리스트와 다른 바이너리 파일이 발견될 경우 펌웨어가 감염된 신호일 수 있기에 해당 악성 파일은 목록화되고 추후 분석 작업을 거치게 된다.

인텔 시큐리티 연구진은 블로그 포스트를 통해 "시스템을 구입한 직후, 또는 감염되지 않았음이 확인된 이후 EFI '화이트리스트'를 생성할 것을 권장한다. 이후 정기적으로, 또는 감염이 의심될 때 시스템 상의 EFI 펌웨어를 검사하면 된다"라고 전했다.

한편 맥 및 맥북 버전용 EFI 펌웨어 업데이트는 애플 지원 사이트에서 다운로드 받을 수 있다. ciokr@idg.co.kr

X