다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 부트키티 맬웨어

부트키티 맬웨어

멀웨어, 루트킷년에 Mezo 년까지
번역 :
한국어

사이버 보안 연구원들은 Linux 시스템을 대상으로 특별히 설계된 최초의 Unified Extensible Firmware Interface(UEFI) 부트킷을 공개했습니다. Bootkitty라는 이름의 이 새로운 개발은 전통적으로 UEFI 부트킷이 주로 Windows 플랫폼과 연관되어 있는 사이버 위협 환경에서 상당한 변화를 나타냅니다.

부트키티: 개념 증명인가, 아니면 새로운 위협인가?

2024년 11월 5일에 발견된 Bootkitty는 적극적으로 배포된 위협이라기보다는 개념 증명(PoC)으로 여겨진다. IranuKit이라고도 불리는 이 부트킷은 현재 실제 공격에서 사용된다는 증거가 없다. BlackCat이라는 별칭으로 운영되는 개발자가 만든 부트킷의 주요 목적은 Linux 초기화 프로세스 중에 아직 식별되지 않은 두 개의 ELF 바이너리를 사전 로드하는 동안 Linux 커널 서명 검증을 비활성화하는 것이다. 시스템 시작 중에 커널의 시작점 역할을 하는 이 프로세스는 Linux의 운영 보안에 매우 중요하다.

Linux용 UEFI 활용: 새로운 차원의 위험

Bootkitty의 등장은 UEFI 부트킷이 Windows 시스템에만 독점된다는 오랜 인식에 도전합니다. 이러한 발전으로 Linux 사용자는 이제 잠재적인 새로운 악용 경로에 직면하게 되었습니다. 부트킷은 자체 서명 인증서를 활용하여 페이로드를 실행하는데, 이는 UEFI 보안 부팅이 활성화된 시스템에서 기능을 제한합니다. 그러나 공격자가 제어하는 사기성 인증서를 설치하는 데 성공하면 여전히 작동할 수 있습니다.

Secure Boot를 우회하는 것 외에도 Bootkitty는 부팅 프로세스 중에 Linux 커널의 메모리를 조작하여 무결성 검사를 훼손합니다. GNU GRand Unified Bootloader(GRUB)가 실행되기 전에 Bootkit은 무결성 검증에 중요한 기능을 가로채고 패치합니다. 이 다층 공격 전략은 UEFI 및 Linux 시스템 내부에 대한 정교한 이해를 보여줍니다.

보안 부팅 및 GRUB 타겟팅: Play의 고급 기술

보안 부팅이 활성화되면 Bootkitty는 UEFI 인증 프로토콜을 수정하여 무결성 검사를 우회합니다. 또한 합법적인 GRUB 부트로더 기능에 패치를 적용하여 감지를 피하고 안전하지 않은 페이로드를 실행하는 기능을 더욱 보장합니다. 이러한 패치는 Linux 커널의 압축 해제 프로세스로 확장되어 부트킷이 시작 중에 승인되지 않은 모듈을 로드할 수 있도록 합니다.

공격을 용이하게 하기 위해 Bootkitty는 환경 변수 LD_PRELOAD를 변경합니다. 이 조정은 Linux 초기화 프로세스가 '/opt/injector.so'와 '/init'으로 식별된 두 개의 알려지지 않은 ELF 공유 객체를 로드하도록 강제하여 부트킷의 시스템 작업 범위를 확장합니다.

BCDropper와 BCObserver: 더 큰 프레임워크?

Bootkitty에 대한 연구에서 BCDropper라는 잠재적으로 관련이 있는 서명되지 않은 커널 모듈이 발견되었습니다. 이 모듈은 BCObserver라는 ELF 바이너리를 배포할 수 있으며, 이는 차례로 시스템 시작 시 다른 식별되지 않은 커널 모듈을 로드합니다. 동일한 BlackCat 가명으로 작동하는 이 추가 모듈은 파일, 프로세스 및 네트워크 포트를 숨기는 것과 같은 루트킷의 일반적인 기능을 보여줍니다. 이러한 고급 기능에도 불구하고 연구자들은 이 활동을 ALPHV/BlackCat 랜섬웨어 그룹과 연결하는 증거를 찾지 못했습니다.

UEFI 보안 및 Linux 시스템에 대한 의미

여전히 개념 증명으로 분류되기는 하지만 Bootkitty는 UEFI 부트킷의 진화에서 새로운 장을 알리며 Windows 환경을 넘어 그 범위를 확장합니다. 이 개발은 오랫동안 이러한 공격에 덜 취약하다고 여겨져 온 Linux 기반 시스템에서 잠재적인 미래 위협에 대비하는 것의 중요성을 강조합니다.

Bootkitty의 부상은 또한 업데이트된 펌웨어 유지, 신뢰할 수 있는 인증서 사용, 가능한 한 보안 부팅 활성화와 같은 경계하는 시스템 보안 조치의 필요성을 강조합니다. Linux에서 UEFI 부트킷의 실행 가능성을 보여줌으로써 Bootkitty는 사이버 보안 전문가와 Linux 사용자 모두에게 방어를 강화하라는 경종 역할을 합니다.

트렌드

Arcus 랜섬웨어

랜섬웨어
랜섬웨어와 같은 위협이 계속 진화함에 따라 강력한 사이버 보안을 유지하는 것이 필수적입니다. 최근 사이버 보안 전문가들이 분석한 더욱 정교한 위협 중 하나는 Arcus 랜섬웨어입니다. 이 위협은 복잡한 행동과 역량을 보여 개인과 기업 모두에게 상당한 어려움을 안겨주었습니다. 작동 방식을 이해하고 예방 조치를 취하면 잠재적 피해를 크게 줄일 수...

ClaimTokens 사기

불량 웹사이트
요즘 디지털 거래가 점점 더 흔해지고 있으므로, 사용자는 온라인을 탐색할 때 엄청난 재정적 손실로 이어질 수 있는 사기를 피하기 위해 경계해야 합니다. 특히 암호화폐 부문은 빠른 성장과 분산형 익명 거래의 매력으로 인해 전술의 주요 대상이 되었습니다. 이 위협을 강조하는 사기 계획 중 하나는 사용자를 악용하고 암호화폐를 빼돌리도록 설계된 사기 작전인...

Guardflares.com

불량 웹사이트, 브라우저 하이재커, 잠재적으로 원하지 않는 프로그램
끊임없이 진화하는 디지털 환경에서 경계는 필수적입니다. 종종 침입 소프트웨어에 의해 촉진되는 사기 의도가 있는 웹사이트는 사용자의 개인 정보 보호 및 보안에 상당한 위협을 가합니다. 그러한 사이트 중 하나는 브라우저 하이재커와 관련이 있는 것으로 알려진 의심스러운 검색 엔진인 Guardflares.com입니다. 이러한 위협이 작동하는 방식을 이해하고...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
72,263
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
62,931
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
57,204 1
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...