Conti 랜섬웨어, 은밀한 공격으로 인텔 펌웨어 노려

국내외 보안동향

by 알약4 2022. 6. 3. 09:00

Conti ransomware targeted Intel firmware for stealthy attacks

연구원들이 악명 높은 Conti 랜섬웨어 작업에서 유출된 채팅을 분석한 결과 러시아 사이버 범죄 그룹 내부의 팀이 펌웨어 핵을 활발히 개발하고 있음을 발견했습니다.

해당 범죄 조직의 멤버 간 주고 받은 메시지에 따르면 Conti 개발자는 Intel의 ME(관리 엔진)를 활용하여 플래시를 덮어쓰고 SMM(시스템 관리 모드)을 실행하는 PoC 코드를 만들었습니다.

ME는 대역 외 서비스를 제공하기 위해 마이크로 OS를 실행하는 인텔 칩셋에 내장된 마이크로컨트롤러입니다. Conti는 활용할 수 있는 문서화되지 않은 기능 및 명령을 찾기 위해 해당 컴포넌트를 난독화했습니다.

여기서부터 Conti는 UEFI/BIOS 펌웨어를 호스팅하는 플래시 메모리에 접근하고, 쓰기 방지를 우회하고, 해킹된 시스템에서 임의 코드를 실행할 수 있게 됩니다.

이들의 최종 목표는 가능한 가장 높은 시스템 권한(ring-0)으로 실행되는 SMM 임플란트를 드롭하는 것입니다. 이는 OS 수준 보안 툴로는 탐지가 불가능합니다.

<유출된 대화 내용 중 일부>

TrickBot의 모듈이 UEFI 펌웨어 취약점을 타깃으로 삼고 Conti 감염을 도운 것과는 달리 새로운 버전은 공격자가 ME에서 알려지지 않은 새로운 취약점을 발견하기 위해 노력하고 있음을 나타냅니다.

랜섬웨어의 펌웨어 공격

랜섬웨어 공격자가 펌웨어 공격을 실행하기 위해서는 먼저 피싱, 취약점 악용, 공급망 공격 등과 같은 경로로 시스템에 접근할 수 있어야 합니다.

공격자는 ME를 해킹한 이후 ME 구현 및 다양한 제한/보호에 따라 액세스가 허용된 "쓰기 금지" 영역을 기반으로 세운 공격 계획을 따라야 할 것입니다.

Eclypsium은 이러한 계획이 SPI 설명자를 덮어쓰고 UEFI/BIOS를 보호 영역 외부로 이동시키거나 BIOS 영역에 직접 액세스는 것으로 추정했습니다.

<ME를 통해 보호되지 않은 BIOS 영역에 접근>

ME가 어느 쪽에도 접근이 불가능한 시나리오도 있습니다. 이 경우 공격자는 Intel의 관리 엔진을 통해 가상 미디어에서 강제로 부팅하고 SPI 컨트롤러를 뒷받침하는 PCH 보호를 잠금 해제할 수 있습니다.

Conti는 이 공격 흐름을 통해 시스템을 영구적으로 벽돌화하고, 영구 지속성을 확보하고, 안티바이러스 및 EDR 탐지를 회피하고, OS 계층에서 모든 보안 제어를 우회할 수 있습니다.

Conti는 사라졌지만 코드는 여전히 살아 있어

Conti의 작업은 중단된 것처럼 보이지만, 많은 멤버들이 다른 랜섬웨어 작업으로 이동해 계속해서 공격을 수행하고 있습니다.

이로써 최근 새로이 발견된 익스플로잇과 같이 많은 작업이 계속해서 진행될 것으로 추측할 수 있습니다.

연구원들은 Conti가 지난 여름부터 작동이 가능한 PoC를 가지고 있었기 때문에, 실제 공격에 사용할 기회가 이미 있었을 가능성이 크다고 밝혔습니다.

서비스형 랜섬웨어(RaaS)는 브랜드만 변경한 채 다시 활동을 재개할 수 있으며, 핵심 멤버들은 다른 랜섬웨어 작업에 참여할 수 있으며, 익스플로잇은 계속해서 악용될 것입니다.

이러한 공격으로부터 시스템을 보호하려면 하드웨어에 펌웨어 업데이트를 적용하고, ME 구성 변경 사항을 모니터링하고, SPI 플래시의 무결성을 정기적으로 확인하시기 바랍니다.

출처:

Atlassian Confluence 원격코드실행 취약점(CVE-2022-26134) 주의! (0)	2022.06.03
MS 지원진단도구(MSDT) 원격코드실행 취약점 Follina(CVE-2022-30190) 주의! (0)	2022.06.03
전문가들, 접근 가능한 전 세계 MySQL 서버 360만대 이상 발견해 (0)	2022.06.02
새로운 XLoader 봇넷, 확률 이론을 통해 서버 숨겨 (0)	2022.06.02
이탈리아 정부, 조직들에 DDoS 공격에 대해 경고해 (0)	2022.05.31

고정 헤더 영역