한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
홈페이지부트킷: 진화 및 탐지 방법
사이버 범죄자들은 예를 들어 바이러스 백신 도구에 의한 탐지를 피하면서 최대 권한으로 대상 시스템에서 장기적인 발판을 확보할 수 있는 새로운 방법을 끊임없이 찾고 있습니다. 대부분의 보호 도구는 운영 체제와 함께 시작되므로 OS가 로드되기 전에 맬웨어가 로드되면 탐지 가능성이 감소합니다. 맬웨어 개발자의 또 다른 목표는 OS 재설치 후에도 제어권과 권한을 유지하는 것입니다. 이를 위해서는 맬웨어가 낮은 수준의 소프트웨어(장치 펌웨어 또는 하드 드라이브의 첫 번째 섹터)에 로드되어야 합니다. 그것이 부트킷이 나타난 방식입니다.
부트킷은 OS가 부팅되기 전에 실행되는 악성 코드입니다. 부트킷의 주요 목표는 시스템에 발판을 마련하고 보안 도구에 의해 탐지되지 않도록 다른 악성 코드를 보호하는 것입니다.
실제인가, 개념인가?
이전에는 부트킷이 주로 개념 증명으로 존재한다고 생각되었습니다. 개념 증명(PoC)은 취약점의 악용 가능성을 입증하는 것입니다. 형식이며 실제 공격에는 사용되지 않습니다. 그러나 첫 번째 PoC가 등장하고 첫 번째 부트킷 공격이 발생하기까지 불과 2년의 시간이 걸렸습니다.
Bootkit PoC는 공격자가 어떤 방법과 기술을 사용할 가능성이 있는지, 그리고 예방적 보호를 제공하기 위해 무엇을 찾아야 하는지에 대한 통찰력을 제공하기 때문에 분석가와 연구자들에게 특히 흥미가 있습니다.
맬웨어 개발자는 이제 자신의 창작물에 satana, Petya 및 TrickBot과 같은 다양한 봇넷을 포함한 부트킷 기능을 추가하고 있습니다. APT 그룹은 Careto, Winnti(APT41), FIN1 및 APT28과 같은 부트킷의 활성 사용자이기도 합니다.
이 보고서를 준비하면서 우리는 PoC 형식과 2005년부터 2021년까지 실제 공격에서 발생한 부트킷 계열 39개를 분석했습니다.
사이버 범죄자는 일반적으로 이메일을 통한 표적 피싱을 사용하여 인프라에 악성 코드를 주입합니다. 예를 들어 Mebromi 및 mosaic Regressor 부트킷이 배포되는 방식입니다. 또 다른 전달 경로는 Pitou 및 Mebroot 악성 코드로 대상을 감염시키는 데 사용된 드라이브 바이 손상 기술을 포함한 웹사이트를 통한 것입니다. 후자를 배포하는 사이버 범죄자들은 1,500개 이상의 웹 리소스를 해킹하여 그곳에 악성 코드를 배치했습니다. FispBoot 부트킷은 피해자가 비디오 클립을 가장하여 다운로드한 Trojan-Downloader.NSIS.Agent.jd 트로이 목마에 처음 감염된 장치에 침투했습니다.
부트킷과 루트킷의 차이점
부트킷은 종종 루트킷과 혼동됩니다. 루트킷은 시스템에서 악성 코드의 존재를 숨기기 위한 프로그램(프로그램 세트)입니다. . 주요 차이점은 OS가 부팅되기 전에도 부트킷이 작동을 시작한다는 것입니다. 합법적인 로더(MBR(마스터 부트 레코드), VBR(볼륨 부트 레코드) 또는 UEFI)과 동일한 수준의 제어 기능을 가지며 OS 부팅 프로세스를 방해하여 부팅 프로세스를 모니터링하고 변경할 수 있습니다. , 예를 들어 보안 메커니즘을 우회하는 악성 코드입니다. 부트킷은 커널 수준 루트킷을 은밀하게 도입하기 위한 환경을 만드는 경우가 많습니다.
MBR(마스터 부트 레코드)에는 장치를 올바르게 부팅하는 데 필요한 정보와 코드가 포함되어 있습니다. 하드 드라이브의 첫 번째 섹터에 저장됩니다. VBR(볼륨 부트 레코드) 또는 IPL(초기 프로그램 로더)은 OS 부팅에 필요한 데이터를 로드합니다. 이는 하드 드라이브 파티션의 첫 번째 섹터에 저장됩니다.
부트킷 기능
대부분의 경우 부트킷에는 다음과 같은 기능이 있습니다.
일부 부트킷을 사용하면 공격자가 인증을 우회할 수 있습니다. 예를 들어 Vbootkit x64 및 DreamBoot 부트킷의 PoC에는 이 기능이 있습니다.
고도로 표적화된 공격을 위한 도구인 부트킷
자체 부트킷을 개발하는 것은 공격자에게 결코 쉬운 일이 아니지만 실제 생활에서는 부트킷이 매우 일반적입니다. 예를 들어, 아프리카, 아시아, 유럽의 외교관과 비정부 기구 구성원을 염탐하는 공격자는 모자이크 리그레서(Mosaic Regressor) 부트킷을 사용하여 대상 시스템에 발판을 마련했습니다. 또 다른 최첨단 부트킷인 MoonBounce를 사용하여 공격을 분석한 결과, 연구원들은 피해자의 IT 인프라에 대한 공격자의 깊은 지식에 놀랐습니다. 그들은 공격자들이 장치 펌웨어를 철저하게 연구했다는 것을 확인했는데, 이는 이것이 고도로 표적화된 공격임을 시사합니다.