해킹 팀, 타겟 시스템에서 RCS 에이전트가 지속적으로 실행되는 UEFI BIOS rootkit 사용

게시일: 2015-07-13 l 작성자: Philippe Lin (Senior Engineer)

해킹 팀의 유출 자료에서 또 다른 중요한 점이 발견 되었습니다. 해킹 팀은 타겟이 되는 시스템에서 RCS 에이전트가 지속적으로 실행될 수 있도록 UEFI BIOS rootkit을 사용합니다. 이로 인해서, 한 번 감염되면, 하드디스크를 포맷 하거나, OS를 새로 설치하거나, 심지어 새로운 하드 디스크를 설치해도 RCS 에이전트가 윈도우에서 지속적으로 실행되게 됩니다.

해킹 팀은 노트북에서 가장 흔하게 사용되는 Insyde BIOS를 타겟으로 악성코드를 제작했지만, AMI BIOS에서도 동작하는 것으로 보입니다.

해킹 팀의 발표에 의하면, 타겟 시스템을 감염시키기 위해서는 타겟 시스템에 물리적으로 접근해야 하지만, 원격 접속으로의 감염 가능성을 배제할 수는 없습니다. 예상 가능한 감염 시나리오는: 1. 해커가 타겟 시스템에 접근합니다. 2. UEFI 쉘을 reboot 합니다. 3. BIOS를 덤프합니다. 4. BIOS rootkit을 설치합니다. 5. BIOS를 reflash 합니다. 시스템을 재시작합니다.

해킹 팀은 BIOS rootkit 사용자에게 툴을 제공하며, 타겟 BIOS에 호환이 되지 않을 경우, technical support도 제공하는 것으로 알려졌습니다.

그림1. 해킹 팀이 제공하는 Technical support

설치가 시작되면, 외부 소스에서 file volume으로 3개의 파일이 복사됩니다. NTFS.mod는 UEFI BIOS가 NTFS에 파일을 쓰고 읽을 수 있게 합니다. Rkloader.mod는 시스템이 부팅될 때, UEFI 이벤트를 후킹해서, 드라퍼 함수가 실행되게 합니다. dropper.mod는 실제 에이전트 파일을 드랍하며, 드랍되는 파일의 이름은 scout.exe와 soldier.exe 입니다.

그림2. UEFI BIOS rootkit이 설치될 때 파일 복사

BIOS rootkit이 설치되면, 시스템이 시작될 때 마다, 에이전트 설치 여부를 확인합니다. 만약, 에이전트가 설치되지 않았다면, \Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6To_60S7K_FU06yjEhjh5dpFw96549UU에 scout.exe가 설치됩니다.

그림3. 타겟 시스템에 설치된 RCS 에이전트

드라퍼는 soldier.exe의 설치 여부도 확인하지만, 어떠한 이유에서 실제 설치를 하지는 않습니다.

그림4. \Users\[username]\Appdata 에 있는 모든 사용자에게 배포되는
scoute.exe (디버그 모드에서 에이전트의 이름)

그림5. scoute.exe 배포

위의 내용이 해킹 팀에서 유출된 내용 중 가장 최신 정보이며, 이로 인해서 더 많은 정보가 추가로 발견될 것으로 보이지만, 현재까지는 3개의 어도비 플래시 취약점이 악용되는 것으로 밝혀졌습니다. 아직 누가 감염되었는지 확실하지 않지만, 이 툴이 “The Hacking Suite for Governmental Interception”로 불리는 것으로 보아, 이 툴이 누구를 타겟으로 하고 있는지 알 수 있습니다.

감염을 막기 위해

  • UEFI SecureFlash를 활성화 합니다.
  • 보안 패치가 나올 때 마다, BIOS를 업데이트 합니다.
  • BIOS나 UEFI 암호를 설정합니다.

서버 매니저는 BIOS protection을 구입할 수도 있습니다.

해킹 팀과 관련된 게시글 타임라인

날짜 업데이트
7월 5일 이태리에 소재한 Hacking Team 사의 400기가바이트에 이르는 내부 비밀 정보와 전자우편 내용이 해킹되어 일반에 공개됨.
7월 7일 트렌드마이크로는 공개된 내부데이타에서 세 개의 익스플로잇(Three exploits) 을 발견함. 그 중 두개는 Flash Player 취약점을 이용한 것이고 다른 하나는 Windows kernel 취약점이었음. 그 중 플래쉬 취약점[CVE-2015-5119] 을 이용한 제로데이가 보고됨

Windows kernel vulnerability (CVE-2015-2387) 는 open type font manager module (ATMFD.dll) 에서 발견되었고 이것은 sandbox mitigation mechanism 을 우회하는 익스플로잇 코드였음.

Flash zero-day exploit (CVE-2015-5119)은 바로 Angler Exploit Kit 과 Nuclear Exploit Pack에 적용되었으며 이는 또한 한국 및 일본 사용자를 대상으로 한 공격에 제한적으로 사용되었음.

7월 11일 해킹팀 덤프에서 새로 두 개의 Flash zero-day 취약점, CVE-2015-5122CVE-2015-5123가 발견됨.
7월 13일 해킹팀 파일 덤프에서 이 회사가 공격 대상에게 적용하기 위해 Remote Control System (RCS) agent 를 심는 방편으로 UEFI BIOS rootkit 을 사용한 것이 밝혀짐.
7월 14일 IE 브라우저의 새로운 취약점 (CVE-2015-2425) 이 발견됨
7월 16일 모바일 기기를 대상으로 Google Play를 우회하는 가짜 뉴스앱, fake news app 이 발견됨.
7월 20일 Windows에 새로운 zero-day 취약점 (CVE-2015-2426)이 발견되어 마이크로소프트가 긴급 패치하게 되었음.
7월 21일 RCSAndroid spying tool 을 분석해본 결과 Hacking Team 이 통화내역을 감청하고 루트권한을 획득할 수 있게 해주는 것이 밝혀짐.

원문: Hacking Team Uses UEFI BIOS Rootkit to Keep RCS 9 Agent in Target Systems