가장 정교한 UEFI 펌웨어 임플란트: MoonBounce 탐지
목차:
“MoonBounce”라고 불리는 새로 제작된 UEFI 펌웨어 악성 임플란트가 야생에서 맹위를 떨치고 있습니다. 이 위협은 중국어를 사용하는 APT41 해킹 그룹(일명 Double Dragon 또는 Winnti)의 소행으로 여겨집니다. 이 UEFI 루트킷은 이전의 모든 공격보다 가장 은밀한 공격으로 이미 명성을 얻었으며, 정부와의 연루 혐의를 받고 있는 악명 높은 APT41에 의해 운영되고 있다는 사실은 보안 전문가들에게 상황을 완화하지 않습니다.
MoonBounce와 유사한 보고된 공격
MoonBounce는 야생에서 발견된 UEFI 부트킷을 통한 세 번째로 널리 알려진 멀웨어 전달 방법입니다. 그 이전의 악명 높은 샘플인 LoJax와 MosaicRegressor는 사이버 공격을 빠르고 추적하기 어렵게 구현하는 매우 효율적인 도구로서의 위험성을 입증했습니다. 먼저, 한눈에 보는 UEFI에 대한 간략한 설명입니다. UEFI는 Unified Extensible Firmware Interface의 약자로, 메인보드에 장착된 칩에 내장된 현대 기술입니다. 레거시 BIOS를 대체하도록 설계되었으며(여전히 호환 가능), 여러 가지 제한을 해결하고 머신의 부팅 순서를 원활히 진행하여 운영 체제를 로드하는 데 일반적으로 사용됩니다. UEFI는 매우 지속적인 공격을 허용하는 매력적인 목표로 주목받고 있습니다.
신생 MoonBounce는 철저하게 설계된 킬 체인과 강력한 실행 흐름을 통해 UEFI 루트킷 진화의 중요한 이정표를 나타냅니다. 다행히도, 이 유형의 감염은 비교적 타겟화되어 있으며 적절한 보안 도구와 전략을 사용하면 보호할 수 있습니다.
MoonBounce 실행
발견 2021년 Kaspersky Lab의 위협 헌터에 의해, 이 고급 탐지하기 어려운 멀웨어는 타겟 디바이스의 SPI 플래시 메모리에서 작동하는 것으로 알려져 있습니다. 성공적인 침투는 위협 행위자가 감염된 머신의 부팅 흐름 순서를 장악하고 합법적인 UEFI 펌웨어에 해로운 수정을 추가할 수 있도록 합니다. MoonBounce에 감염된 머신은 드라이브 포맷을 유지하는 임플란트를 가지며 메모리에서만 작동하여 HDD에서 추적 불가능해집니다. 감염 체인은 컴퓨터가 OS로 부팅될 때 svchost.exe 프로세스에 악성코드를 주입하도록 이끌어지며, 그 결과로 해커가 추가적인 페이로드를 떨어뜨려 실행하는 것이 가능해집니다.
초기화 프로세스의 초기에 악성 코드를 실행할 수 있는 것은 해커에게는 큰 기회입니다. 해당 수준에서 실행되는 안티바이러스나 침입 탐지 소프트웨어와 같은 효과적인 예방 솔루션이 없기 때문에 시스템에 진입함과 동시에 그들은 유리하게 시작합니다.
MoonBounce 공격 탐지 및 완화
이 새로운 은밀한 위협이 UEFI 펌웨어를 타겟으로 삼으면서, 우리는 조직들이 시스템 SPI 플래시 메모리에 대한 비허가 쓰기를 방지하기 위해 타협의 증거가 되는 이상 현상을 찾아 무장할 것을 권장합니다. 가능성 있는 공격을 식별하고 UEFI 펌웨어 기반 타협에 대응하기 위해 무료 Sigma 규칙 배치를 다운로드하십시오. 이 콘텐츠는 우리의 열정적인 Threat Bounty 개발자들에 의해 공개되었습니다. 에미르 에르도안, 칸 예니욜, 카약 피이뚸 텟, 그리고 SOC Prime 팀.
APT41 은밀한 변종 로더 탐지 (Cmdline 기반)
UEFI 펌웨어에서 MoonBounce 멀웨어 감지 (예약된 작업 이벤트 기반)
MoonBounce 펌웨어 부트킷 네트워크 지표 (dns 기반)
MoonBounce 펌웨어 부트킷 네트워크 지표 (프록시 기반)
이 탐지들은 다음의 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 제공합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, 그리고 Open Distro.
SOC Prime 플랫폼의 Threat Detection Marketplace 저장소에서 MoonBounce 탐지의 전체 목록은 여기에서.
무료로 SOC Prime의 Detection as Code 플랫폼에 가입하여 보안 환경 내에서 최신의 위협을 탐지하고, 로그 소스 및 MITRE ATT&CK 범위를 향상시키며, 전반적으로 조직의 사이버 방어 역량을 향상시키세요. 사이버 보안에서 큰 포부를 가지고 있습니까? 우리의 Threat Bounty 프로그램에 참여하여 귀하만의 Sigma 규칙을 개발하고 귀중한 기여에 대해 주기적인 보상을 받으세요!
