안랩, 드라이버 취약점 악용한 ‘BYOVD’ 공격 주의 당부

안랩(대표 강석균)이 드라이버 취약점을 이용해 컴퓨터 운영체제 접근권한을 획득, 악성코드 추적을 방해한 사례를 소개하고 이에 대한 주의를 당부했다.

28일 안랩 ASEC 분석팀은 ‘라자루스 공격 그룹의 루트킷 악성코드 분석 보고서’를 통해 취약점이 있는 드라이버를 활용한 ‘Bring Your Own Vulnerable Drive·BYOVD’ 기법을 소개했다.

‘BYOVD’는 합법적인 서명을 포함하고 있어 윈도우 운영체제에서 정상적으로 구동되지만, 사실은 취약점이 있는 드라이버를 통해 시스템 접근 권한을 얻는 공격 기법을 뜻한다.

공격자는 먼저 특정 소프트웨어의 보안패치가 적용되지 않은 환경을 노린다. 시스템에 백도어 악성코드를 설치하고, 피해 시스템에 ‘루트킷(Rootkit)’을 다운로드한다. 루트킷은 시스템에 접근할 수 있는 핵심인 루트(Root) 권한을 쉽게 얻는 데 필요한 프로그램을 모아둔 키트다.

해당 루트킷은 합법적으로 서명돼 윈도우에서 제대로 돌아가긴 하지만 보안 취약점이 있는 특정 외산 제품의 드라이버를 노렸다. 이 드라이버에는 제대로 된 검증 절차 없이도 OS의 커널에 접근할 수 있는 취약점이 있었다. 공격자는 이를 통해 원래 읽고 쓰기가 불가능한 커널 데이터에 접근권한을 얻었다.

이후 공격자는 시스템 필수 드라이버 파일을 제외한 모든 모니터링 시스템을 종료해 보안 솔루션의 악성코드 추적 기능을 차단했다. 이 같은 환경이 만들어지면 정보탈취, 랜섬웨어 감염 등의 추가 악성 사이버 공격행위가 일어날 수 있다.

안랩 관계자는 “현재 V3 및 지능형 위협 대응 솔루션 ‘안랩 MDS’는 파일 및 행위 기반 진단 기능을 활용해 이 같은 공격을 초도 단계에서 차단한다”고 밝혔다.

안랩은 ▲일반 사용자 환경에서는 드라이버를 실행(로드) 할 수 없도록 보안 정책 설정 ▲공격 초도 단계 방어를 위해 백신 등 보안 솔루션 사용 및 업데이트 ▲보안 패치 즉시 업데이트 실행 등의 보안수칙 준수를 당부했다.

한명욱 안랩 분석팀 주임은 “이번 사례에서 사용된 것과 유사한 드라이버가 더 많이 존재할 수 있다”며 “조직 보안담당자는 기본 보안수칙을 준수하는 한편 위협 인텔리전스 서비스 등을 이용해 공격 기법의 변화를 파악해야 한다”고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network