|
UEFI/BIOS 펌웨어를 변조하는 새로운 버전의 TrickBot 침해사고분석팀 2020.12.04 |
|
|
TrickBot 봇넷의 운영자들은 감염된 컴퓨터의 BIOS 또는 UEFI 펌웨어와 상호 작용할 수 있는 새로운 기능을 추가했다.
새로운 모듈은 TrickBot이 감염된 시스템에 영구적인 영향을 끼칠 수 있으며, OS 재설치에서 살아남을 수 있는 발판을 마련할 수 있기 때문에 보안 담당자들을 걱정하게 한다.
또한 새 모듈은 BitLocker, ELAM, Windows 10 Virtual Secure Mode, 인증 정보 보호, A/V, EDR 등의 보안 컨트롤을 바이패스 할 수 있다.
아직까지 TrickBot 모듈은 SPI 컨트롤러를 점검하여 BIOS 쓰기 보호가 활성화되었는지 여부를 확인할 뿐 펌웨어 자체를 수정하는 모습은 보이지 않았다.
하지만 악성코드 내부에는 이미 펌웨어를 일거나 쓰고 지울 수 있는 코드가 포함되어 있기 때문에 특정 시나리오에서 이 기능을 활용할 계획을 세우고 있는것을 알 수 있다.
이러한 모듈은 랜섬웨어 공격자들에게 봇 네트워크에 대한 접근을 허용함으로써 랜섬웨어 공격에도 응용될 수 있다.
[그림 1. TrickBot의 랜섬웨어 공격 연계]
위 상황의 경우, 피해자가 몸값 지불을 거절할 경우 TrickBot 모듈을 통해 그들의 시스템을 완전히 파괴시킬 수 있으며, 시스템 부팅 기능을 방해하여 피해자가 포렌식을 위한 자료를 수집하는 것을 방해하는 등 여러가지 가능성이 존재한다
출처 https://www.zdnet.com/article/new-trickbot-version-can-tamper-with-uefibios-firmware/
|
[그림 2. TrickBot의 다양한 공격 방법]