TrickBot 봇넷의 운영자들은 감염된 컴퓨터의 BIOS 또는 UEFI 펌웨어와 상호 작용할 수 있는 새로운 기능을 추가했다.

 

새로운 모듈은 TrickBot이 감염된 시스템에 영구적인 영향을 끼칠 수 있으며, OS 재설치에서 살아남을 수 있는 발판을 마련할 수 있기 때문에 보안 담당자들을 걱정하게 한다.

 

또한 새 모듈은 BitLocker, ELAM, Windows 10 Virtual Secure Mode, 인증 정보 보호, A/V, EDR 등의 보안 컨트롤을 바이패스 할 수 있다.

 

아직까지 TrickBot 모듈은 SPI 컨트롤러를 점검하여 BIOS 쓰기 보호가 활성화되었는지 여부를 확인할 뿐 펌웨어 자체를 수정하는 모습은 보이지 않았다.

 

하지만 악성코드 내부에는 이미 펌웨어를 일거나 쓰고 지울 수 있는 코드가 포함되어 있기 때문에 특정 시나리오에서 이 기능을 활용할 계획을 세우고 있는것을 알 수 있다.

 

이러한 모듈은 랜섬웨어 공격자들에게 봇 네트워크에 대한 접근을 허용함으로써 랜섬웨어 공격에도 응용될 수 있다. 

[그림 1. TrickBot의 랜섬웨어 공격 연계]

 

 

위 상황의 경우, 피해자가 몸값 지불을 거절할 경우 TrickBot 모듈을 통해 그들의 시스템을 완전히 파괴시킬 수 있으며, 시스템 부팅 기능을 방해하여 피해자가 포렌식을 위한 자료를 수집하는 것을 방해하는 등 여러가지 가능성이 존재한다

 

[그림 2. TrickBot의 다양한 공격 방법]

 

 

출처

https://www.zdnet.com/article/new-trickbot-version-can-tamper-with-uefibios-firmware/