파이어아이(지사장 전수홍 www.fireeye.com/kr/ko)와 맨디언트(Mandiant)의 연구원들은 최근 시스템 운영체제가 부팅되기 전 실행되는 부트킷 멀웨어를 이용해 결제카드 데이터를 노리는 신종 사이버 범죄 수법을 발견했다고 22일 전했다.

사이버 침해 대응 전문 기업 맨디언트가 발견한 부트킷 멀웨어 ‘부트래시(Bootrash)’는 운영체제의 하위 계층을 감염시켜 탐지 및 제거가 어렵다는 점에서 각별한 주의가 요구된다.

맨디언트에 따르면, 해당 사이버 범죄는 경제적 이윤을 노리는 러시아 기반 추정 사이버 범죄 조직, ‘FIN1'의 소행으로 밝혀졌으며 주로 금융회사를 대상으로 수익과 직결되는 데이터를 노려온 조직이라고 전했다.

맨디언트는 최근 한 금융업체에 대한 조사를 하던 중 FIN1에 의한 사이버 범죄 활동을 감지했다.

FIN1은 소위 ‘네미시스(Nemesis)’라 일컫는 멀웨어 생태계에 속한 다수의 악성 파일과 유틸리티를 사용 공격을 감행했다.

네미시스에는 다양한 네트워크 프로토콜과 CnC서버 통신 채널을 지원하는 포괄적인 백도어가 포함돼있다.

FIN1은 공격 툴의 변종을 생성하고, 기능을 추가하는 등 지속적으로 네미시스를 업데이트했으며, 올해 초에는 정상적인 시스템 볼륨 부트 레코드(VBR, Volume Boot Records)를 변경하는 ‘부트래시’ 유틸리티를 툴셋에 포함시켰다.

특히 FIN1은 부트래시를 이용해 시스템 부팅 프로세스를 장악하고, 윈도 운영체제의 코드보다 네미시스의 구성 요소들을 먼저 로딩한다. <그림 ‘부트래시에 감염된 부팅 과정’ 참조>

일반적인 부팅 과정에서 MBR(Master Boot Record)은 운영체제 코드를 불러오는 VBR을 로딩한다.

그러나 이번 악성 코드에 감염될 경우, 부트래시 부트스트랩(bootstrap) 코드가 덮어 쓰인 VBR을 로딩하며, 이 코드는 가상 파일 시스템에 저장된 네메시스 부트킷 요소를 불러와 본래의 부트 섹터를 제어한다.

이처럼 부트킷이 부트 섹터를 제어한 이후 운영 체제가 로딩되고 실행되기 때문에 탐지 및 제거가 어렵다.

부트래시와 같은 부트킷은 윈도 운영체제 하위에 설치돼 윈도보다 먼저 실행되기 때문에 운영체제에서 진행되는 무결성 검사를 피해갈 수 있다.

또한 멀웨어 페이로드를 불러오기 위해 사용되는 요소들은 윈도 파일시스템 외부에 있는 가상 파일시스템에 저장돼 백신 소프트웨어로도 발견이 되지 않는다.

게다가 멀웨어 요소들 자체 역시 가상 파일 시스템이나 윈도 레지스트리에 저장돼 백신 프로그램의 영향을 받지 않는다.

따라서 부트래시를 탐지할 수 있는 곳은 원시 메모리뿐이다.

이와 관련, 맨디언트는 부트래시를 조사하는 과정에서, 원시 디스크에 대한 접근을 가능케 하는 맨디언트의 자체적인 호스트 기반 기술 ‘맨디언트 인텔리전트 리스폰스(Mandiant Intelligent Response, MIR)’를 사용해 운영 체제 외부에 존재하는 멀웨어를 발견했다고 밝혔다.

이 툴은 파티션의 시작에서부터 0xE 영역에 저장된 VBR 코드의 백업 복사본이 있는 시스템들을 신속하게 파악할 수 있도록 해 부트래시 감염 여부를 조사했다.

또한 탐지되지 않은 부트래시 변종이 정상 VBR 코드의 백업 복사본에 저장돼 있을 경우를 대비해 다른 파티션이 시작될 때 MIR를 사용해 디스크의 여러 위치에서 무작위로 VBR 코드의 존재를 검색했다.

파이어아이 전수홍 지사장은 “운영 체제 외부에 존재하는 멀웨어가 사용되는 경우에는 기존의 탐지 및 제거 방식과는 다른 방식으로 이에 접근할 필요가 있다”며 “부트래시와 같은 부트킷 멀웨어에는 맨디언트 인텔리전트 리스폰스와 같이 원시 디스크 포렌식 이미지에 접근하고 검색할 수 있는 툴이 효과적”이라고 설명했다.

부트래시에 대한 보다 자세한 정보는 파이어아이 공식 블로그(https://www.fireeye.com/blog/threat-research/2015/12/fin1-targets-boot-record.html)에서 확인할 수 있다.

<김동기 기자>kdk@bikorea.net