Offcanvas

랜섬웨어 / 보안

사일런스 연구진, UEFI 랜섬웨어 공격법 공개

2017.04.04 Lucian Constantin  |  IDG News Service
지난 몇 년 동안 랜섬웨어 위협은 지속적으로 진화했다. 브라우저 내에서 운영체제 부트로더로 활동 범위를 넓히는가 싶더니 컴퓨터의 하드웨어 구성 요소를 구동하는 저수준 펌웨어에서 동작하는 랜섬웨어도 등장했다.

올해 초 보안 업체 사일런스(Cylance)의 연구팀은 최신 바이오스인 마더보드의 UEFI(Unified Extensible Firmware Interface) 내부에서 실행되는 랜섬웨어 개념 증명을 시연했던 바 있다. 이 팀은 지난 31일 블랙 햇 아시아 보안 컨퍼런스에서 대만의 컴퓨터 제조업체인 기가바이트 테크놀로지의 초소형 PC 두 가지 모델의 펌웨어 취약점을 악용하는 랜섬웨어 공격법을 공개했다.

시연 모델은 기가바이트 미니PC 베어본(BRIX) 플랫폼인 GB-BSi7H-6500 및 GB-BXi7-5775이었다. 설명에 따르면 이들 모델의 UEFI에 내장된 랜섬웨어는 공격자가 OS에 접근 할 수 있는 저수준 소프트웨어를 실행할 수 있게 해준다. CPU의 특수 작동 모드인 SMM(System Management Mode)에서 권한을 상승시킴으로써 악의적인 코드를 실행할 수 있도록 하는 방법을 통해서다.

UEFI 취약점을 악용하는 공격법은 예전에도 소개된 바 있다. 이 공격 방법은 운영체제가 재설치될지라도 시스템을 다시 감염시킬 수 있기 때문에 공격자에게 그 유용성이 높다. 특히 UEFI 루트킷(다른 악성 코드 및 그 활동을 숨길 수 있는 악의적인 코드)는 사이버 공격이나 감시 작업에 이상적이다. 실제로 이탈리아의 감시 소프트웨어 업체인 해킹 팀(Hacking Team)은 여러 국가의 법 집행 기관과 정부 고객에게 UEFI 루트킷을 판매했던 것으로 알려졌다. 또 위키리크스가 최근 폭로한 문서에 따르면 미 CIA는 맥 컴퓨터에 UEFI ‘삽입물’을 보유하고 있었다.

한편 카네기 멜론 대학 (Carnegie Mellon University)의 CERT 코디네이션 센터에 따르면 기가바이트는 GB-BSi7H-6500 용 펌웨어 업데이트를 이달 중 배포할 예정이지만 GB-BXi7-5775 패치는 발표하지 않을 예정이다. 후자의 경우 제품 생명 주기가 이미 종료됐다는 판단에서다.

희소식도 있다. UEFI 취약점이 그리 범용적이지 않다는 점이다. 펌웨어/바이오스 공급 업체가 다수이며 이들이 컴퓨터 제조업체에 제공한 UEFI 레퍼런스는 각 제조사에 의해 변경되기 때문이다. 즉 현대 컴퓨터의 펌웨어에는 모델과 제조사에 따라 다양하게 파편화가 이뤄져 있는 상태다. 한 제조업체의 특정 마더보드 UEFI 취약점이 다른 업체의 제품은 물론 동일한 업체의 제품에서도 작동하지 않을 가능성이 높은 셈이다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.