[데이터넷] 북한 배후 공격그룹 라자루스가 한 외산 제품의 취약한 드라이버를 이용해 공격했다는 분석이 나왔다.
안랩의 ‘라자루스 공격 그룹의 루트킷 악성코드 분석 보고서’에 따르면 라자루스가 BYOVD(Bring Your Own Vulnerable Driver)를 이용한 공격을 진행한 것으로 보인다. BYOVD는 합법적인 서명을 포함하고 있어 윈도우 운영체제에서 정상적으로 구동되지만, 사실은 취약점이 있는 드라이버를 활용해 공격 대상의 시스템에 접근 권한을 얻는 공격 방식을 말한다.
공격자는 특정 소프트웨어의 보안패치가 적용되지 않는 환경을 찾아 백도어 악성코드를 설치했다. 이를 악성코드를 이용해 공격자의 목적 달성을 위해 필요한 루트킷을 피해 시스템에 다운로드했다. 루트킷은 전반적인 시스템에 접근할 수 있는 핵심인 루트 권한을 쉽게 얻는 데 필요한 프로그램을 모아둔 키트로, 공격에 필요한 다양한 리소스가 포함돼 있다.
공격자는 해당 루트킷 속에 취약점을 포함하고 있지만 합법적으로 서명되어 윈도우에서 정상적으로 구동 가능한 특정 외산 제품의 취약한 드라이버를 포함했다. 해당 드라이버에는 제대로 된 검증 절차 없이 OS의 커널에 접근할 수 있다는 취약점이 있었다. 공격자는 이 드라이버를 이용해 원래 읽고 쓰기가 불가능한 커널 데이터에 접근권한을 얻었다.
이후 공격자는 시스템 필수 드라이버 파일을 제외한 모든 모니터링 시스템을 종료해 다양한 보안 솔루션이 악성코드 행위를 추적할 수 있는 기능을 차단했다. 공격자는 이후 보안이 무력화된 환경에서 정보탈취, 랜섬웨어 감염 등의 추가 악성행위를 수행할 수 있다.
안랩은 안티바이러스 ‘V3’와 지능형 위협 대응 솔루션 ‘안랩 MDS’의 파일행위 기반 진단 기능을 활용해 이 공격을 차단하고 있다고 밝혔다.
안랩 관계자는 “취약한 드라이버를 악용한 공격을 예방하기 위해 조직 보안담당자는 ▲일반 사용자 환경에서는 드라이버를 실행 할 수 없도록 보안 정책 설정 ▲공격 초도 단계 방어를 위해 백신 등 보안 솔루션 사용 및 업데이트 ▲SW 보안 패치 즉시 업데이트 실행 등 보안수칙을 준수해야 한다”고 설명했다.
