시스템 운용체계(OS)가 부팅되기 전에 실행돼 탐지와 제거가 어려운 부트킷 악성코드가 발견됐다. 공격자는 결제카드 데이터를 노렸다.
파이어아이코리아(대표 전수홍)는 22일 부트킷 악성코드 ‘부트래시’ 경계령을 내렸다. 부트래시는 OS 하위 계층을 감염시켜 탐지와 제거가 어렵다. 파이어아이 침해대응전문기업 맨디언트는 러시아 기반 사이버 범죄조직 ‘FIN1’ 소행으로 분석했다. 주로 금융기관을 대상으로 수익과 직결되는 데이터를 노린 조직이다.
FIN1은 ‘네미시스(Nemesis)’라 일컫는 악성코드 생태계에 속한 다수 악성 파일과 유틸리티로 공격한다. 네미시스는 다양한 네트워크 프로토콜과 명령&제어(CnC)서버 통신 채널을 지원하는 백도어가 들어있다.
FIN1은 공격 도구 변종을 생성하고, 기능을 추가하는 등 네미시스를 업데이트했다. 올해 초에는 정상 시스템 볼륨 부트 레코드(VBR, Volume Boot Records)를 변경하는 ‘부트래시’ 유틸리티를 포함했다.
FIN1은 부트래시를 이용해 시스템 부팅 프로세스를 장악한다. 윈도 OS 보다 네미시스 구성 요소들을 먼저 실행한다. 일반 부팅 과정에서 마스터부트레코드(MBR)는 OS 코드를 불러오는 VBR을 실행한다. 이번 악성 코드에 감염되면 부트래시 부트스트랩(bootstrap) 코드가 덮어 쓰인 VBR을 로딩한다. 해당 코드는 가상 파일 시스템에 저장된 네메시스 부트킷 요소를 불러와 본래의 부트 섹터를 제어한다. 이처럼 부트킷이 부트 섹터를 제어한 이후 OS가 로딩돼 탐지와 제거가 어렵다.
부트킷은 윈도 OS 하위에 설치돼 윈도 보다 먼저 실행된다. 무결성 검사를 피해갈 수 있다. 악성코드를 불러올 때 윈도 파일 시스템 외부에 있는 가상 파일 시스템에 저장된다. 백신 소프트웨어로 발견 되지 않는다. 악성코드 요소도 가상 파일 시스템이나 윈도 레지스트리에 저장돼 백신 프로그램 영향을 받지 않는다. 부트래시를 탐지하는 곳은 원시 메모리뿐이다.
전수홍 파이어아이코리아 대표는 “OS 외부에 존재하는 악성코드는 기존 탐지와 제거와 다른 방식으로 접근해야 한다”며 “맨디언트 인텔리전트 리스폰스와 같이 원시 디스크 포렌식 이미지에 접근·검색하는 도구가 효과적”이라고 설명했다.
김인순기자 insoon@etnews.com