편집 : 2022.12.6 화 10:27
뉴스
안랩, ‘BYOVD’ 보안시스템 노린 공격 분석 발표취약한 드라이버 이용…백업어 침투 후 루트킷 다운로드
김동기 기자  |  kdk@bikorea.net
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2022.09.29  09:53:59
트위터 페이스북 미투데이 요즘 네이버 구글 msn

안랩(대표 강석균 www.ahnlab.com)은 지난 28일 발표를 통해, ‘취약점을 가진 드라이버(BYOVD)’를 이용해 기관 등 조직을 공격한 사례를 상세 분석한 보고서를 발표했다.

ASEC분석팀은 최근 ‘라자루스 공격 그룹의 루트킷 악성코드 분석 보고서’라는 제목의 보고서를 발표했다(asec.ahnlab.com/ko/38593/).

이번 보고서에서 안랩 ASEC분석팀은 ‘브링 유어 오운 브루너블 드라이버(Bring Your Own Vulnerable Driver, 이하 BYOVD) 기법’을 이용한 최신 사례를 분석했다.

‘BYOVD’는 합법적인 서명을 포함하고 있어 윈도 운영체제에서 정상적으로 구동되지만, 사실은 취약점이 있는 드라이버를 활용해 공격 대상의 시스템에 접근 권한을 얻는 방식의 공격 기법을 뜻한다.

공격자는 먼저 특정 소프트웨어의 보안패치가 미적용된 환경을 노려, 피해 시스템에 백도어 악성코드를 설치했다.

이후, 백도어 악성코드를 이용해 공격자의 목적 달성을 위해 필요한 ‘루트킷(Rootkit)’을 피해 시스템에 다운로드했다.

루트킷은 전반적인 시스템에 접근할 수 있는 핵심인 루트(Root) 권한을 쉽게 얻는 데 필요한 프로그램을 모아둔 키트(kit)로, 공격에 필요한 다양한 리소스가 포함돼 있다.

이번 사례에서 공격자는 해당 루트킷 속에 취약점을 포함하고 있지만 합법적으로 서명돼 윈도에서 정상적으로 구동 가능한 특정 외산 제품의 취약한 드라이버를 포함했다.

해당 드라이버에는 제대로 된 검증 절차 없이도 OS의 커널(Kernel)에 접근할 수 있다는 취약점이 있었다.

공격자는 이 드라이버를 이용해 원래 읽고 쓰기가 불가능한 커널 데이터에 접근권한을 얻었다.

이후 공격자는 시스템 필수 드라이버 파일을 제외한 모든 모니터링 시스템을 종료해 다양한 보안 솔루션이 악성코드 행위를 추적할 수 있는 기능을 차단했다.

공격자는 이후 보안이 무력화된 환경에서 정보탈취, 랜섬웨어 감염 등의 추가 악성행위를 수행할 수 있다.

현재 V3 및 지능형 위협 대응 솔루션 ‘안랩 MDS’는 현재 파일 및 행위 기반 진단 기능을 활용해 공격을 초도 단계에서 차단하고 있다.

이처럼 취약한 드라이버를 악용한 공격을 예방하기 위해 조직 보안담당자는 ▲일반 사용자 환경에서는 드라이버를 실행(로드) 할 수 없도록 보안 정책 설정 ▲공격 초도 단계 방어를 위해 백신 등 보안 솔루션 사용 및 업데이트 ▲SW 보안 패치 즉시 업데이트 실행 등 보안수칙을 준수해야 한다.

한명욱 안랩 분석팀 주임은 “이번 ‘BYOVD 기법’을 활용한 사례에서 사용된 것과 유사한(정상적으로 서명됐으나 취약점을 포함하고 있는) 드라이버가 더 많이 존재할 수 있다”며 “조직 보안담당자는 기본 보안수칙을 준수하는 한편, TI 서비스 등을 이용해 공격 기법의 변화를 파악해야 하며, 이를 바탕으로 조직에 필요한 보안정책을 설정하고 구성원 보안 교육 등 다각도로 힘써야 한다”고 말했다.

<김동기 기자>kdk@bikorea.net

< 저작권자 © BI KOREA 무단전재 및 재배포금지 >
김동기 기자의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
1
OK저축은행-뱅크웨어글로벌 갈등, ‘점입가경’
2
하나은행 EDW, 결국 ‘오라클 엑사데이타’로…논란 확산
3
티맥스 그룹, ‘2023년 정기 임원 인사’ 단행
4
SK(주) C&C, 신임 윤풍영 사장 선임
5
KT, ‘마이데이터 서비스’ 출시
6
퀀팃-KB증권, ‘AI 포트폴리오 주문 집행’ 상용화
7
KT, 글로벌 최고 통신사로 선정돼
8
우리금융, ‘금융종합솔루션 구축’에 역량 결집
9
티맥스알지, ‘알투플러스’ 고도화 완료
10
KT-코웨이, ‘스마트홈 동맹’ 맺어
회사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
서울시 영등포구 여의대방로65길 13, 904(여의도동 유창빌딩)| Tel: 02-785-5108 | Fax 02-785-5109
이메일주소무단수집거부 | (주)비아이코리아닷넷 | 대표이사 : 김동기 | 사업자 등록번호:107-87-99085 | 개인정보관리책임자 : 김동기
등록번호 : 서울 아01269 | 등록일자 : 신고일자 2008.10.22 | 발행인:김동기 | 발행일자:2010.06.01 | 편집인 : 김동기 | 청소년보호책임자 : 김동기
Copyright © 2012 BI KOREA. All rights reserved. mail to webmaster@bikorea.net