TrickBot 악성코드, UEFI도 감염시킨다
트릭봇(TrickBot)은 근래 가장 활발히 활동하는 악성코드 중의 하나다. 정보 탈취부터 랜섬웨어 등 다른 악성코드 설치까지 다용도로 활용되고 있다. 이제는 UEFI를 감염시키는 모듈까지 추가됐다. 이를 트릭부트(TrickBoot)라고 한다.
UEFI는 PC 메인보드의 펌웨어(firmware)로, 이전에는 BIOS라고 하던 것이다. 시스템 시작 시 가장 먼저 실행된다. Windows 등 운영체제보다 먼저 실행되기 때문에, 이것이 악성코드에 감염되면, 보안 소프트웨어가 탐지하거나 제거하기 어렵다. 또한 부팅 과정에서 운영체제 자체를 변조하고, 보안 기능들을 해제할 수 있다.
UEFI는 메인보드에 별도의 SPI Flash memory 칩에 있기 때문에, 운영체제를 재설치하거나 SSD/HDD 등 저장장치를 교체해도 악성코드를 제거할 수 없다.
이런 공격을 막기 위해 UEFI에는 쓰기 방지 기능이 있다. 정당한 UEFI image인지 확인하는 매커니즘도 있다. 문제는 PC나 메인보드 제조사에 따라, 이런 기능이 비활성화된 경우가 있고, 활성화됐더라도 취약점이 있는 경우가 있다는 점이다.
UEFI에는 부팅 과정에 악성코드가 실행되는 것을 방지하는 보안 부팅(Secure Boot) 기능이 있다. 그러나 TrickBoot는 UEFI 자체를 감염시키기 때문에 보안 부팅이 도움이 되지 않는다.
TrickBoot는 UEFI를 감염시키기 위해 RWEverything, fwexpl 등 기존의 앱을 사용했다. 그리하여 UEFI를 읽고, 쓰고, 아예 지워버릴 수도 있다. 백도어 등 악성코드를 설치하는 것은 물론, PC를 부팅 불가로 만들 수도 있는 것이다.
UEFI를 감염시키는 악성코드는 매우 드물다. 아직까지는 LoJax와 MosaicRegressor가 전부였다. 게다가 이들은 고도로 표적화된 공격에만 사용됐다. 반면에 TrickBot은 무차별적으로 대량 공격을 하는 봇넷이다. 일반인들도 UEFI 공격에 노출된 것이다.
UEFI를 보호하기 위해서는 쓰기 방지를 활성화하고, 알려진 취약점에 노출되지 않도록 UEFI를 최신 버전으로 업데이트할 것이 권고됐다.
브랜드 PC를 사용 중이라면 LG Update Center, ASUS Live Update 같은 제조사 유틸리티가 설치돼 있다. 이들도 UEFI를 업데이트하는 기능이 있다. 내 생각에는 이런 앱을 악용하려는 시도도 나타나지 않을까 싶다.
참고 자료
댓글
댓글 쓰기