MosaicRegressor, UEFI를 감염시키는 악성코드

PC의 UEFI에 침투하여 악성 모듈을 삽입하는 악성코드가 발견됐다. LoJax에 이어 역사상 두번째의 UEFI rootkit이다. 카스퍼스키(Kaspersky)가 발견했으며, MosaicRegressor라고 이름 붙였다.

메인보드의 UEFI(에전의 BIOS)에 존재하기 때문에 보안 소프트웨어에 잘 탐지되지 않으며 제거도 어렵다. 물론 HDD나 SSD 같은 저장장치를 초기화하거나 교체해도 소용없다.

모자이크리그레서는 모듈화된 다단계 다운로더이다. 해커로부터 최종 페이로드(payload)를 다운로드해서 설치하는 것이 임무다.

모자이크리그레서의 초기 감염 경로, 즉 UEFI에 어떻게 침투하는 지는 확인되지 않았다. 다만 카스퍼스키는 물리적으로 PC에 접근하는 것을 유력한 시나리오로 보고 있다. USB 드라이브로 부팅하는 과정에서 전용 UEFI 업데이트 툴을 이용해, 악의적으로 변조된 UEFI 이미지를 심는 것이다.

또한 원격에서 해킹하는 것도 가능할 것으로 봤다.  UEFI의 인증 취약점, 즉 정상적인 UEFI 이미지인지 확인하는 과정의 취약점을 이용해 원격에서 변조된 이미지로 업데이트하는 것이다. 이를 수행할 악성코드는 스피어 피싱 등으로 전달될 수 있다.

카스퍼스키에 따르면, 이런 UEFI 루트킷이 발견되는 것은 상당히 드문 경우라고 한다. 방어자 입장에서는 보안 앱에 잘 탐지되지 않기 때문이고, 공격자 입장에서도 고도의 기술이 필요하고 위험 부담이 크기 때문이다.


댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다