FinFisher 악성코드, UEFI 부트킷으로 윈도우 부트 매니저 하이재킹해

 

 

FinFisher malware hijacks Windows Boot Manager with UEFI bootkit

 

상용으로 개발된 FinFisher 악성코드가 윈도우 부트 매니저에 삽입하는 UEFI 부트킷을 통해 윈도우 기기를 감염시킬 수 있는 것으로 나타났습니다.

 

FinSpy, Wingbird라고도 불리는 FinFisher는 Gamma Group에서 개발한 감시 솔루션으로 스파이웨어 변종에서 흔히 찾아볼 수 있는 악성코드와 유사한 기능도 함께 제공합니다.

 

개발자는 이 제품이 전 세계 정부 기관 및 법 집행 기관에 독점적으로 판매되고 있다고 밝혔지만, 사이버 보안 회사들은 해당 제품이 스피어피싱 캠페인과 인터넷 서비스 제공업체(ISP)의 인프라를 통해 전달되는 것 또한 발견했습니다.

 

 

강력한 회피 및 지속성

 

카스퍼스키 연구원은 이와 관련하여 아래와 같이 밝혔습니다.

 

"연구 중 FinSpy를 로드하는 UEFI 부트킷을 발견했습니다. UEFI 부트킷에 감염된 모든 컴퓨터는 윈도우 부트 관리자(bootmgfw.efi)를 악성 프로그램으로 교체했습니다. 공격자는 이러한 감염 수법을 통해 펌웨어 보안 검사를 우회할 필요 없이 부트킷을 설치할 수 있었습니다. UEFI 감염은 매우 드물게 발생하며, 일반적으로 실행하기 어렵지만 회피 및 지속성이 뛰어납니다."

 

UEFI(Unified Extensible Firmware Interface) 펌웨어는 컴퓨터 마더보드의 SPI 플래시 스토리지 내에 설치되어 하드 드라이브를 교체하거나 OS 재설치를 통해 제거할 수 없기 때문에 지속성 높은 부트킷 악성코드를 허용합니다.

 

부트킷은 OS의 보안 솔루션이 닿을 수 없는 펌웨어에 심어진 악성코드로 기기 부팅 시퀀스의 초기 단계에서 다른 모든 것보다 먼저 로드되도록 설계되었습니다.

 

이로써 공격자에게 OS의 부팅 프로세스를 제어할 수 있는 권한을 제공하고 시스템의 부팅 보안 모드에 따라 Secure Boot 메커니즘을 우회하여 OS 보안을 방해할 수 있습니다.

 

실제 공격에 부트킷을 사용하는 공개적으로 문서화된 공격과 악성코드는 극히 드뭅니다. 여기에는 러시아의 지원을 받는 APT28 해커 그룹이 사용하는 Lojax, 중국어를 구사하는 해커가 배포한 MosaicRegressor, TrickBot의 TrickBoot 모듈, 중국어를 사용하는 공격자가 2018년부터 스파이 활동에 사용한 것으로 보이는 Moriya가 있습니다.

 

UEFI 지원이 제공되지 않는 구형 컴퓨터는 유사한 방식으로 2014년에 처음으로 탐지된 부트킷과 함께 MBR(Master Boot Record)을 통해 감염되었습니다.

 

 

고급 난독화 및 분석 방지 조치

 

카스퍼스키가 분석한 공격에 사용된 다른 악성코드 샘플의 경우, 스파이웨어 개발자는 FinFisher를 “역대 가장 탐지가 어려운 스파이웨어"로 만들기 위해 설계된 4단계 난독화 및 분석 방지 조치를 사용했습니다.

 

악성코드 샘플이 거의 모든 탐지 시도를 회피할 수 있고 사실상 분석이 불가능했기 때문에, 공격자의 노력은 매우 효과적이라 볼 수 있었습니다.

 

카스퍼스키의 연구원들은 아래와 같이 밝혔습니다.

 

“FinFisher에 보안 연구원이 접근하는 것을 막기 위해 수행된 작업의 양은 꽤 우려스럽고 인상적입니다. 개발자는 트로이 목마 자체만큼 난독화 및 분석 방지 조치에 많은 노력을 기울인 것으로 보입니다. 결과적으로 탐지 및 분석 회피 기능으로 인해 이 스파이웨어를 추적 및 탐지하기가 특히 어렵습니다."

 

더 자세한 내용은 카스퍼스키에서 공개한 보고서에서 확인하실 수 있습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 ’Trojan.GenericKD.37616900’으로 탐지 중입니다.

 

 

 

  

출처:

https://www.bleepingcomputer.com/news/security/finfisher-malware-hijacks-windows-boot-manager-with-uefi-bootkit/

https://securelist.com/finspy-unseen-findings/104322/