인텔의 도구를 이용한 악성코드, 방화벽 회피

악성코드, 인텔 칩 관리 기능을 악용하여 침투

해커들은 시스템에 침입하기 위해 창의적이고 혁신적인 아이디어를 사용하는 것으로 알려져 있습니다. 그러나 일반적으로는 사용자를 속이거나 허점을 악용하는 방식입니다. 그러나 이번 보안 침해는 해커가 시스템에 침입하기 위해 소프트웨어를 설계된 대로 정확히 사용한 드문 경우에 해당합니다.

방화벽 우회

마이크로소프트는 ‘플래티넘’이라는 이름의 그룹이 인텔의 액티브 관리 기술(AMT)를 사용하여 윈도우 방화벽을 완전히 우회했다고 발표했습니다. 이 도구는 인텔의 vPro 프로세서 및 칩셋이 탑재된 기기에서 사용할 수 있습니다. 이 그룹은 AMT 내에서 통신 서비스를 위해 직렬-오버-랜(SOL) 채널을 활용하는 자체 파일 전송 도구를 보유하고 있습니다. 이 채널은 기기에서 실행 중인 운영 체제와 독립적으로 작동하도록 설계되었기 때문에, 이 도구는 윈도우 방화벽을 우회할 수 있으며, 따라서 “호스트 장치에서 실행 중인 방화벽 및 네트워크 모니터링 애플리케이션에 대해 보이지 않게” 됩니다.

“직렬-오버-랜(SOL) 채널”은 TCP를 통해 칩셋이 제공하는 채널을 가진 가상 직렬 장치를 노출하며, 기본적으로 활성화되어 있지 않으며, 대상 워크스테이션에서 실제로 실행하려면 관리 권한이 필요합니다. 이러한 채널의 제공은 사용자 자격 증명 – 사용자 이름 및 비밀번호 – 의 사용에 의해 제한되므로, 레드몬드의 거대 기업은 PLATINUM이 “희생 네트워크에서 손상된 자격 증명을 얻었을 가능성이 있다”고 추측합니다.

AMT 펌웨어는 운영 체제 아래의 낮은 수준에서 실행되며, 프로세서뿐만 아니라 네트워크 인터페이스에도 접근할 수 있습니다. 이 소프트웨어는 사용자가 아직 운영 체제가 없는 기기에 원격으로 OS를 설치할 수 있게 하며, 장치의 전원을 사이클링할 수 있게 하고, 이러한 작업을 수행할 수 있도록 IP 기반 KVM(키보드, 비디오, 마우스) 솔루션을 제공합니다.

성명서

마이크로소프트는 공개 성명에서 다음과 같이 말했습니다:

우리는 이 도구가 관리 기술 자체의 취약점을 노출하지 않았지만, 이미 손상된 대상 네트워크 내에서 AMT SOL을 잘못 사용하여 통신을 은폐하고 보안 애플리케이션을 회피했다고 확인했습니다. PLATINUM 파일 전송 도구 내의 새로운 SOL 프로토콜은 AMT 기술 SDK의 리디렉션 라이브러리 API(imrsdk.dll)를 사용합니다. 데이터 거래는 IMR_SOLSendText()/IMR_SOLReceiveText() 호출에 의해 수행되며, 이는 네트워킹의 send() 및 recv() 호출과 유사합니다. 사용된 SOL 프로토콜은 오류 감지를 위한 가변 길이 헤더가 데이터에 추가된 것을 제외하고는 TCP 프로토콜과 동일합니다. 또한, 업데이트된 클라이언트는 인증 전에 “007?”라는 내용을 포함한 암호화되지 않은 패킷을 전송합니다.

그러나 모든 사람이 이에 대해 걱정할 필요는 없습니다. 윈도우 10 버전 1607 이상 및 구성 관리자 1610 이상을 실행하는 기기는 이러한 공격이나 동일한 방식의 다른 공격으로부터 보호되는 것으로 간주됩니다. 이 시스템 구성은 대상 공격 활동을 감지할 수 있을 뿐만 아니라 “AMT SOL의 합법적인 사용과 이를 통신 채널로 사용하려는 대상 공격을 구별할 수 있습니다.”

회사는 또한 이번 공격이 목적을 위해 칩셋 기능을 활용한 첫 번째 공격이며, 인텔의 AMT 소프트웨어의 취약점을 노출하지 않고, 복잡하고 손상된 네트워크에서 보안 시스템을 회피하기 위해 기술을 사용한다고 밝혔습니다. 마이크로소프트는 또한 사용자가 공격이 어떻게 발생하는지 이해할 수 있도록 공개 성명과 함께 비디오를 공개했으며, 아래에서 확인할 수 있습니다.