요약 : 유명 중국 APT 단체가 UEFI 펌웨어 임플란트를 활용하고 있다는 사실이 공개됐다. 문제의 그룹은 APT41 혹은 윈티(Winnti)라고 불리며, 이들이 사용한 임플란트는 문바운스(MoonBounce)라고 한다. 공격자들은 펌웨어를 침해한 후 새로운 섹션을 생성하고 그 안에 악성 셸코드와 커널 모드 드라이버를 삽입하는 것으로 분석됐다. 그렇게 함으로써 사용자 모드에서 각종 악성 페이로드를 몰래 추가할 수 있게 된다고 한다. 하지만 최초 침투 방법은 아직 알려지지 않았다.
[이미지 = utoimage]
배경 : UEFI 펌웨어를 침해한다는 건 OS보다 더 깊은 곳으로 침투한다는 뜻이다. 따라서 OS에 설치된 각종 보안 솔루션들로는 침해 사실을 알 수가 없게 된다. 펌웨어 공격 기술은 비교적 고급 기술로 분류되나, 최근 들어 많은 공격자들이 이를 수행할 기술력을 갖추고 있다.
말말말 : “문바운스는 메모리 내에서만 작동을 하기 때문에 어떤 흔적도 하드드라이브에 남기지 않습니다. 그래서 최초 침투 경로를 밝혀내기가 힘듭니다.” -카스퍼스키(Kaspersky)-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>