에스펙터

거의 10년 동안 탐지를 피할 수 있었던 맬웨어 위협이 마침내 infosec 연구원에 의해 포착되었습니다. 사이버 보안 전문가가 발견한 ESPecter라는 위협은 서명되지 않은 드라이버를 감염된 시스템 ESP(EFI 시스템 파티션) 드라이브에 로드하도록 설계된 부트킷입니다.

연구원들은 위협의 근원을 적어도 2012년까지 추적했습니다. 이 중요한 기간 동안 맬웨어가 겪은 가장 급격한 변화는 레거시 BIOS 및 마스터 부트 레코드를 대상으로 하는 것에서 후속 UEFI로의 전환입니다. Unified Extensible Firmware Interface 또는 UEFI는 시스템의 펌웨어를 운영 체제와 연결하는 중요한 구성 요소입니다.

지금까지 ESPecter는 충분한 증거가 없기 때문에 특정 위협 행위자가 원인이 되지 않았습니다. 디버그 메시지와 같은 위협 구성 요소에서 발견된 특정 징후는 작성자가 중국어를 구사하는 개인임을 암시합니다. ESPecter의 전달에 사용된 배포 방법은 현재 유사하게 알려지지 않았습니다. 위협 행위자는 알려져 있지만 아직 패치되지 않은 버그인 제로 데이 UEFI 취약점을 사용하거나 대상 시스템에 물리적으로 액세스할 수 있습니다.

기술적 세부 사항

ESPecter는 ESP에 자신을 배치하고 Windows 부팅 관리자에 적용된 패치를 통해 지속성을 설정합니다. 또한 이 패치는 ESPecter에 Windows DSE(드라이버 서명 적용) 프로토콜을 완전히 우회하고 자체 서명되지 않은 드라이버를 손상된 시스템에 로드할 수 있는 기능을 제공합니다. 위협은 또한 공격자의 명령 및 제어(C2, C&C) 서버에 대한 연결을 설정하기 위해 안전하지 않은 추가 구성 요소를 주입할 수 있습니다.

연구원들은 ESPecter에 감염된 시스템에서 키로깅 및 파일 도용 모듈을 발견했으며, 이는 위협 행위자의 주요 목표가 사이버 스파이 활동과 선택된 대상에 대한 감시일 수 있음을 나타냅니다. 실제로 ESPecter는 수집된 주요 로그 및 문서와 함께 임의의 스크린샷을 찍어 숨겨진 디렉토리에 저장하는 기능도 갖추고 있습니다.

그러나 위협적인 활동을 수행하려면 ESPecter가 시스템의 보안 부팅 기능을 비활성화해야 합니다. 보안 부팅은 Windows 8 릴리스와 함께 Windows 기능으로 처음 도입되었으므로 이전 버전의 모든 OS는 자동으로 ESPecter 공격에 취약해졌습니다. 그러나 최신 Windows 버전을 사용하는 것만으로는 충분하지 않습니다. 공격자가 보안 부팅을 비활성화하거나 완전히 우회할 수 있는 수많은 UEFI 펌웨어 취약점이 지난 몇 년 동안 나타났습니다.