최근 발견된 랜섬웨어인 'HybridPetya'는 UEFI Secure Boot 기능을 우회하여 EFI 시스템 파티션에 악성 애플리케이션을 설치할 수 있습니다. 이 랜섬웨어는 2016년과 2017년에 컴퓨터를 암호화하고 윈도우 부팅을 방해했던 파괴적인 Petya/NotPetya 악성 코드에서 영감을 받은 것으로 보입니다. 하지만 복구 옵션을 제공하지 않았습니다. 사이버보안 회사 ESET의 연구원들은 VirusTotal에서 HybridPetya의 샘플을 발견했습니다. 이는 연구 프로젝트일 수도 있고, 개념 증명일 수도 있으며, 아직 제한적인 테스트 중인 사이버 범죄 도구의 초기 버전일 수도 있습니다.
HybridPetya는 Petya와 NotPetya의 특성을 모두 포함하고 있으며, 이전의 악성 코드들의 시각적 스타일과 공격 체인을 포함하고 있습니다. 하지만 개발자는 EFI 시스템 파티션에 설치하고 CVE-2024-7344 취약점을 이용하여 Secure Boot를 우회하는 기능과 같은 새로운 것들을 추가했습니다. ESET은 올해 1월에 이 결함을 발견했다. 이 문제는 Microsoft가 서명한 애플리케이션들이 Secure Boot 보호가 활성화된 대상에서도 부트킷을 배포하는 데 이용될 수 있다는 것을 의미합니다.
HybridPetya가 실행되면, 호스트가 UEFI와 GPT 파티셔닝을 사용하는지 확인하고, EFI 시스템 파티션에 악성 부트킷을 드롭합니다. 이 부트킷은 여러 파일로 구성되어 있으며, 이에는 설정 및 검증 파일, 수정된 부트로더, 대체 UEFI 부트로더, 익스플로잇 페이로드 컨테이너, 암호화 진행 상황을 추적하는 상태 파일이 포함됩니다.
요약
- 최근 발견된 랜섬웨어 'HybridPetya'는 UEFI Secure Boot 기능을 우회하여 악성 애플리케이션을 설치한다.
- HybridPetya는 Petya와 NotPetya의 특성을 모두 포함하고 있으며, 이전의 악성 코드들의 시각적 스타일과 공격 체인을 포함하고 있다.
- HybridPetya가 실행되면, 호스트가 UEFI와 GPT 파티셔닝을 사용하는지 확인하고, EFI 시스템 파티션에 악성 부트킷을 드롭한다.
- 이 부트킷은 여러 파일로 구성되어 있으며, 이에는 설정 및 검증 파일, 수정된 부트로더, 대체 UEFI 부트로더, 익스플로잇 페이로드 컨테이너, 암호화 진행 상황을 추적하는 상태 파일이 포함된다.
- HybridPetya는 아직 실제 공격에서 관찰되지 않았지만, 비슷한 프로젝트들은 언제든지 이 개념 증명을 무기화하여 패치되지 않은 윈도우 시스템을 대상으로 광범위한 캠페인을 사용할 수 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.