PC 하드웨어와 하드웨어 드라이브 취약점으로부터 회사를 보호하는 방법

CSO
PC 제조업체 에이수스(Asus)는 2018년 6월부터 11월 사이 공격자들이 에이수스 노트북 컴퓨터에 사전 설치되는 에이수스 라이브 업데이트(Asus Live Update) 앱을 사용해 백도어를 설치했다고 최근 발표했다. 

또한 카스퍼스키는 백도어가 포함된 라이브 업데이트 소프트웨어가 약 5만 7,000개의 시스템에 설치된 것으로 추산했다. 에이수스는 업데이트 프로세스에 악성코드가 유입됐음을 인정하고, 사용자 시스템에 악성 소프트웨어가 설치되어 있는지 여부를 테스트할 수 있는 툴을 제공했다.

백도어가 포함된 이 업데이트는 특정 컴퓨터를 대상으로 하는 것으로 보인다.  조사에서 언급된 바와 같이 백도어 소프트웨어에는 MAC 주소를 나타내는 하드코딩된 MD5 해시가 포함되어 있다. 이론은 공격자가 특정 기업에 판매된 특정 하드웨어 시스템, 그룹 또는 컴퓨터를 식별해서 해당 시스템에 대해 더 많은 액세스 권한을 획득한다는 것이다.
 
ⓒ Getty Images Bank 

자신의 시스템에 에이수스 라이브 업데이트가 설치되어 있다면 최신 버전인 3.6.9인지 확인해야 한다. 이 버전에는 문제 수정과 업데이트 조작을 차단하는 부가적인 메커니즘이 포함되어 있다.


PC 마더보드 식별 방법

ⓒ Susan Bradley/IDG
에이수스 공격으로 인해 필자는 다른 취약점이 발생할 경우 시스템이 사용한 마더보드를 어떻게 확인할 수 있는지 궁금했다. 자신의 시스템에 설치된 마더보드 제조업체와 모델을 확인하는 방법은 여러 가지다.

파워셸에서 다음 명령을 사용할 수 있다.

Get-WmiObject win32_baseboard | select Manufacturer
 
이 명령의 응답은 마더보드 제조업체 이름이다. 필자의 노트북에서 이 명령을 실행한 결과 다른 제조업체가 시스템을 제작했음을 알 수 있었다.

몇몇 마더보드의 식별자는 명확하다. 필자가 지금 이 기사를 입력하는 노트북의 제조업체는 레노버다. 좀더 조사가 필요한 경우도 있을 것이다. 예를 들어 인텔이 만드는 아폴로레이크(Apollo Lake) 칩 기반 마더보드 시리즈의 경우 명령을 실행하면 마더보드 제조업체는 APL로 표시된다.

제조업체를 확인하기 위한 포괄적인 명령은 네트워크에 대한 정보를 상당히 많이 제공한다. 윈도우 관리 도구(WMI)는 개체를 식별하기 위한 사전 정의된 클래스의 윈도우용 구현이다. ComputerName 매개변수를 사용하면 컴퓨터 또는 컴퓨터 제품군을 쿼리할 수 있다.

예를 들어, 다음 파워셸 명령을 사용해 도메인의 액티브 디렉터리에서 바이오스, 프로세서 및 마더보드 제조업체에 대한 주요 정보를 나열하면 네트워크의 디바이스와 제조업체를 파악할 수 있다.

foreach($computer in $computers)
{
    Invoke-Command -ComputerName $computer -ScriptBlock {
        Get-WmiObject Win32_bios
        Get-WmiObject Win32_processor
        Get_WmiObject Win32_Baseboard
    }
}


하드웨어 드라이버도 취약

마더보드와 바이오스 업데이트와 마찬가지로 하드웨어 드라이버도 빈번하게 악의적 공격의 목표물이 된다. 관리자가 컴퓨터 시스템을 배포할 때 드라이버를 설치하고 이후에는 다시 설치하거나 업데이트하지 않는 경우가 많기 때문이다.

이런 은밀한 공격을 탐지하려면 아웃바운드 트래픽에서 비정상적인 행동을 모니터링한다. 특히 비정상적인 아웃바운드 원격 프로시저 호출(RPC)과 서버 메시지 블록(SMB) 통신에 주목해야 한다. 방화벽에 차단 규칙을 두는 것이 좋다. 워크스테이션 또는 외부 방화벽 수준에서 포트를 차단한다.

이런 차단 정책이 현재 네트워크에 부정적인 영향을 미치는지 여부를 확인해야 할 수도 있다. SMB v1 및 기타 오래되고 더 취약한 프로토콜에 대한 의존도가 어느 정도인지 검토한다.

미국국토안전부는 오래 전부터 모든 경계 디바이스에서, 특히 랜섬웨어 공격에 대비해 TCP 포트 445를 차단해 네트워크 경계의 모든 SMB 버전을 차단하고, UDP 포트 137-138과 TCP 포트 139의 관련 프로토콜을 차단할 것을 권장하고 있다.

인터넷에 접한 원격 데스크톱 프로토콜(RDP) 서버(터미널 서버)도 다중 요소 게이트웨이를 배치해 공격자가 무차별 대입 공격으로 RDP 비밀번호를 알아내거나 비밀번호 재사용 공격을 사용해 액세스 권한을 획득하지 못하도록 보호하는 것이 좋다. 다중 요소 인증을 사용할 수 없는 경우, 네트워크 수준 인증이 활성화되었는지 확인하고, 로컬 관리 비밀번호 솔루션(LAPS) 툴킷을 사용해 컴퓨터와 서버의 로컬 관리자 비밀번호를 난수화한다.

지금 바로 시스템을 점검하고 마더보드 일람표를 만들고 특히 네트워크의 비정상적인 아웃바운드 연결을 조사해보자. editor@itworld.co.kr