블랙로터스 UEFI 부트킷 탐지: CVE-2022-21894를 이용한 UEFI 시큐어 부트 우회 및 OS 보안 메커니즘 비활성화

지난 몇 년 동안 발견된 통합 확장 펌웨어 인터페이스(UEFI) 보안 결함의 증가는 공격 세력이 이를 악용할 수 있도록 초록불을 켰습니다. 2022년에는 악명 높은 자연 발생의 MoonBounce 멀웨어 UEFI 부트킷을 통해 배포되어 사이버 위협 분야에서 큰 충격을 일으켰습니다. 현재 야생에서 맹위를 떨치고 있는 또 다른 종류의 멀웨어인 BlackLotus는 주요 보안 메커니즘을 우회할 수 있는 최초의 고도로 회피적인 UEFI 부트킷으로 간주될 수 있습니다.

BlackLotus UEFI 부트킷 탐지

처음으로 Microsoft의 보안 부트 메커니즘을 우회하기 위해 자연 발생에서 활용된 멀웨어로서 BlackLotus 부트킷은 전 세계 사이버 방어자들에게 중대한 위험을 초래합니다. BlackLotus 사이버 공격과 관련된 악의적인 활동을 감지하기 위해 SOC Prime의 Detection as Code Platform은 관련 시그마 규칙 세트를 제공합니다:

비시스템 프로세스에 의해 시스템 디렉터리에서 펌웨어 파일이 생성될 가능성 있음 (파일 이벤트를 통해)

SOC Prime 팀의 첫 번째 규칙은 비시스템 이진 파일에 의해 System32 디렉터리에 생성된 펌웨어 파일을 식별하며, 이는 악의적인 목적으로 추가적으로 악용될 수 있습니다. 탐지는 20개 이상의 SIEM, EDR 및 XDR 플랫폼과 호환되며 MITRE ATT&CK® 프레임워크 v12와 일치하며 방어 회피 전술과 시스템 펌웨어 (T0857)을 대응 기술로 다루고 있습니다.

코어 격리 메모리 무결성 비활성화 가능성 있음 (레지스트리 설정으로)

우리 팀의 숙련된 Threat Bounty 개발자인 Nattatorn Chuensangarun이 개발한 두 번째 규칙은 레지스트리 설정을 통해 하이퍼바이저 보호 코드 무결성(HVCI)으로도 알려진 코어 격리 메모리 무결성을 비활성화하는 것을 탐지합니다. 이 탐지는 15개 이상의 SIEM, EDR 및 XDR 플랫폼과 호환되며 MITRE ATT&CK® 프레임워크 v12와 일치하며 방어 회피 전술과 방어력 저하 (T1562), 레지스트리 수정 (T1112)을 대응 기술로 다루고 있습니다.

집단적 사이버 방어에 기여할 방법을 찾고 있는 잠재적 위협 연구자들은 Threat Bounty 프로그램 크라우드소싱 프로젝트에 참여할 수 있습니다. 시그마 및 ATT&CK을 지원하는 탐지 코드를 작성하고, 산업 동료와 전문 지식을 공유하며, 작업의 질과 속도에 대한 보수를 받으면서 탐지 엔지니어링 기술을 지속적으로 향상시킬 수 있습니다.

현재 SOC Prime 플랫폼은 UEFI 기능을 악용하는 멀웨어와 관련된 악의적인 활동을 식별하기 위한 탐지 규칙 모음을 제공하고 있습니다. 탐지 탐색 버튼을 눌러 해당 ATT&CK 참조, 위협 정보 링크 및 기타 관련 메타데이터와 함께 제공되는 탐지 알고리즘을 확인하세요.

탐지 탐색

CVE-2022-21894를 악용하는 BlackLotus UEFI 부트킷: 공격 설명

통합 확장 펌웨어 인터페이스(UEFI)는 최첨단 기술로서 소프트웨어 프로그램의 사양이며, 기계의 부팅 시퀀스를 촉진하고 컴퓨터의 펌웨어를 운영 체제(OS)와 연결하기 위해 널리 사용됩니다. 최근 몇 년 동안 UEFI 취약점은 다양한 공격적 작업에 활용하는 공격자들에게 매력을 끌었습니다. UEFI 부트킷을 사용하여 전달된 가장 인기 있는 멀웨어 샘플은 자연 발생의 최초 UEFI 펌웨어 임플란트인 LoJax, MosaicRegressor, 그리고 MoonBounce, 이는 탐지가 어려운 복잡한 기능 때문에 UEFI 루트킷 진화에서의 주요 이정표입니다.

BlackLotus로 알려진 새로운 UEFI 부트킷은 2022년 가을 중반부터 해킹 포럼에서 활발히 배포되고 있습니다. BlackLotus는 최초로 공개적으로 알려진 UEFI 부트킷으로, 중요한 보안 기능, UEFI 보안 부트를 우회할 수 있으며 최신 완전히 패치된 Windows 11 시스템에서 실행될 수 있습니다.

ESET 보안 커뮤니티의 최신 보고서에 따르면, BlackLotus는 OS 부팅 프로세스에 대한 완전한 제어 권한을 가질 수 있어 손상된 사용자들에게 중대한 위협을 초래할 수 있으며, 이는 중요한 OS 보안 보호를 비활성화하고 초기 OS 시작 단계에서 여러 페이로드를 확산시킬 수 있습니다.

먼저 위협 행위자는 설치 프로그램을 실행하여 OS 보안 보호를 비활성화하고 손상된 기계를 재부팅합니다. 이후 그들은 여전히 악용 가능하더라도 Microsoft에 의해 2022년 말에 패치된 것으로 추적되는 레거시 보안 부트 취약점 CVE-2022-21894를 무기화하고 악성 소유자 키를 등록하여 멀웨어 지속성을 확보합니다. 추가 재부팅 시 설치된 BlackLotus는 커널 드라이버를 배포하여 멀웨어 지속성을 유지하고 최종 사용자 모드 구성 요소인 HTTP 다운로더를 배포하며, 이는 추가적인 페이로드를 삭제하기 위해 C2 통신을 담당합니다.

신규 악성코드는 사이버 위협 분야에서 계속해서 힘을 얻고 있으며, 지하 포럼에서 활발히 확산되고 있습니다. BlackLotus는 고도로 회피적인 UEFI 부트킷으로 어두운 웹에서 광고되며, 가상 머신 방어, 디버그 방어 및 난독화 기술 집합을 포함하여, 그 영향을 완화하기 위해 사이버 방어자들이 세심히 주의를 기울여야 합니다. 조직이 위협을 완화하는 데 도움을 주는 주요 완화 조치로서, 사이버 방어자들은 시스템과 보안 프로그램을 최신 버전으로 즉시 업데이트하는 것을 권장합니다.

공격자들이 치기 전에 앞서가도록 https://socprime.com/을 활용하세요. 현재 및 새로 발생하는 위협을 검색하고, ATT&CK과 연결된 관련 시그마 규칙에 즉시 도달하여 포괄적인 사이버 위협 맥락과 함께 조직의 사이버 보안 자태를 지속적으로 강화하십시오.