Home > 전체기사

중국의 APT 단체, UEFI 펌웨어 임플란트인 문바운스 사용

  |  입력 : 2022-01-21 11:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
OS보다 아래에 있는 펌웨어...침해할 경우 OS 소프트웨어들은 무용지물이 돼

요약 : 유명 중국 APT 단체가 UEFI 펌웨어 임플란트를 활용하고 있다는 사실이 공개됐다. 문제의 그룹은 APT41 혹은 윈티(Winnti)라고 불리며, 이들이 사용한 임플란트는 문바운스(MoonBounce)라고 한다. 공격자들은 펌웨어를 침해한 후 새로운 섹션을 생성하고 그 안에 악성 셸코드와 커널 모드 드라이버를 삽입하는 것으로 분석됐다. 그렇게 함으로써 사용자 모드에서 각종 악성 페이로드를 몰래 추가할 수 있게 된다고 한다. 하지만 최초 침투 방법은 아직 알려지지 않았다.

[이미지 = utoimage]


배경 : UEFI 펌웨어를 침해한다는 건 OS보다 더 깊은 곳으로 침투한다는 뜻이다. 따라서 OS에 설치된 각종 보안 솔루션들로는 침해 사실을 알 수가 없게 된다. 펌웨어 공격 기술은 비교적 고급 기술로 분류되나, 최근 들어 많은 공격자들이 이를 수행할 기술력을 갖추고 있다.

말말말 : “문바운스는 메모리 내에서만 작동을 하기 때문에 어떤 흔적도 하드드라이브에 남기지 않습니다. 그래서 최초 침투 경로를 밝혀내기가 힘듭니다.” -카스퍼스키(Kaspersky)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)