Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Spectre와 Meltdown의 취약점을 이용한 악성코드 발견
작성일 2018-02-12 조회 2355


 

 

 

AV-TEST와 의 Fortinet은 100여건이상의 신규 악성코드를 발표했습니다.
해당 악성코드는 최근 CPU 취약점인 Spectre와 Meltdown을 이용한 것으로, 다수의 POC가 온라인에 공개된 상태에서 POC를 이용한 악성코드 다수가 발견되었습니다.


실제 공격용 악성코드는 아니지만, POC를 이용한 컴파일 버전이 실제 적용 가능한것으로 드러남으로써, 해킹 그룹의 주요한 공격 루트가 될 것으로 판단됩니다.


Meltdown and Spectre와 관련된 악성 프로그램 샘플의 수는 1월 31일까지 139건에 달합니다.

 

[그림 1.] AV-TEST에서 발표한 취약점 악성코드 77건(1월 17일)
(https://twitter.com/avtestorg/status/953625360163397634/photo/1?ref_src=twsrc%5Etfw&ref_url=http%3A%2F%2Fsecurityaffairs.co%2Fwordpress%2F68483%2Fmalware%2Fspectre-meltdown-malware.html)

 

[그림 2.] AV-TEST에서 발표한 취약점 악성코드 109건(1월 23일) (https://twitter.com/avtestorg/status/953625360163397634/photo/1?ref_src=twsrc%5Etfw&ref_url=http%3A%2F%2Fsecurityaffairs.co%2Fwordpress%2F68483%2Fmalware%2Fspectre-meltdown-malware.html)

 

AV-TEST의 CEO에 따르면 여러 전문가 그룹이 인텔 결함을 유발할 수있는 악성 코드에 대한 작업을 진행하고 있으며 대부분이 사용 가능한 PoC를 제컴파일 하고 있습니다.
현재의 맬웨어 샘플은 여전히 "연구 단계"에 있고 공격자는 컴퓨터, 특히 웹 브라우저에서 정보를 추출하는 방법을 찾고 있습니다.

 

[그림 3.] AV-TEST에서 발표한 악성코드 샘플 SHA-256 (https://plus.google.com/+avtestorg/posts/dCvrjtFxoav)


운영 체제 및 BIOS 업데이트를 설치하는 것 외에도 공격이 성공할 가능성을 줄여야하는 두 가지 권장 사항이 있습니다.

(1) 1 시간 이상 필요하지 않을 때 PC 전원 차단
(2) 작업 중단 중에 웹 브라우저 프로세스 종료

 

 


취약점 분석

윈스 블로그 [보안동향] [긴급공지] CPU 칩셋 보안 취약점 (멜트다운/스펙터) 대응지침 및 분석보고서 참조

 

 

 

Sniper 제품군 대응 방안

 

[Sniper-IPS]

[4077] Win32/Trojan.MeltDown.Download
[4078] Win32/Trojan.MeltDown.Download.A
[4079] Win32/Trojan.MeltDown.Download.B
[4080] Win32/Trojan.Spercte.Download
[4081] Win32/Trojan.Spercte.Download.A

[Sniper-UTM]

[838861395] Win32/Trojan.MeltDown.Download
[838861396] Win32/Trojan.MeltDown.Download.A
[838861397] Win32/Trojan.MeltDown.Download.B
[838861398] Win32/Trojan.Spercte.Download
[838861399] Win32/Trojan.Spercte.Download.A

[Sniper-APTX]

[3308] Win32/Trojan.MeltDown.Download
[3309] Win32/Trojan.MeltDown.Download.A
[3310] Win32/Trojan.MeltDown.Download.B
[3311] Win32/Trojan.Spercte.Download
[3312] Win32/Trojan.Spercte.Download.A

 

 

 

참조 페이지
https://www.exploit-db.com/exploits/43427/
https://plus.google.com/+avtestorg/posts/dCvrjtFxoav
https://blog.fortinet.com/2018/01/30/the-exponential-growth-of-detected-malware-targeted-at-meltdown-and-spectre
https://github.com/V-E-O/PoC/tree/master/CVE-2017-5753
https://github.com/EdwardOwusuAdjei/Spectre-PoC
https://github.com/lgeek/spec_poc_arm
https://github.com/qazbnm456/awesome-cve-poc/blob/master/CVE-2017-5753.md

첨부파일 첨부파일이 없습니다.
태그 Spectre  Meltdown  CVE-2017-5753  CVE-2017-5715  CVE-2017-5754