2019.03.27

에이수스, 섀도우해머 공격 대응 패치 버전과 탐지용 툴 발표

Mark Hachman | PCWorld
에이수스는 지난 화요일 “소수의 디바이스”가 자사의 라이브 업데이트 유틸리티에 대한 공격으로 악성 코드에 감염됐다고 확인했다. 또 해당 앱은 패치가 완료됐다고 밝혔다.
 
ⓒAdam Patrick Murray/IDG

에이수스는 영향을 받은 사용자를 파악했고, 패치된 버전의 소프트웨어를 발표했다고 밝혔다. 새로운 라이브 업데이트 유틸리티는 3.6.8 버전이다. 감염 여부가 의심스러운 사용자는 에이수스가 제공하는 툴을 확인할 수 있다. 에이수스는 또한 자사가 다중 보안 인증 메커니즘을 도입했는데, 여기에는 향상된 엔드 투 엔드 암호화 메커니즘도 포함되어 있다고 밝혔다. 향후 유사한 공격을 방지하기 위해 서버와 최종 사용자 간의 소프트웨어 아키텍처도 강화했다.

에이수스 공식 서버에서 호스팅하는 백도어에 감염된 에이수스 라이브 업데이트 유틸리티는 5만 7,000명 이상이 다운로드해 설치했다. 

보안업체 카스퍼스키가 섀도우해머(ShadowHammer)라고 명명한 이 악성 코드는 실질적으로는 소수의 사용자를 대상으로 한 공격이었다. 카스퍼스키는 아직 조사가 진행 중이라고 밝혔다. 카스퍼스키는 섀도우해머 공격이 전세계적으로 탐지됐으며, 대부분 러시아와 독일 사용자이고, 미국도 전체 감염자의 5% 정도를 차지한다고 밝혔다.

보안 관점에서 이번 악성코드의 가장 충격적인 측면은 적법한 보안 인증서로 서명되어 있다는 것이다. 즉 실제 업데이트와 구분할 수 없도록 진품 인증 도장이 찍혀 있는 것이다. 심지어 에이수스 서버가 호스팅했다. 라이브 업데이트 유틸리티는 에이수스 사이트에서 다운로드할 수 있으며, PC에 사전 탑재되어 제공되기도 한다.

에이수스 라이브 업데이트 소프트웨어는 에이수스 웹사이트에서 프로그램의 새 버전이 나왔는지 확인해 자동으로 PC의 BIOS와 드라이버, 애플리케이션을 업데이트한다. 만약 섀도우해머가 PC로 하여금 다른 사이트에서 악성 BIOS 소프트웨어를 다운로드하도록 한다면, 이 소프트웨어는 PC 전체를 장악할 수도 있다.

카스퍼스키랩은 공격 대상이 공급망이었다고 밝혔다. 특정 제품에 부품을 공급하는 회사들의 네트워크로, 제조 협력업체 다수가 포함될 수도 있다. 어떤 업체를 노리고 어떤 공격을 하려고 했는지는 확실하지 않지만, 카스퍼스키는 이번 공격이 BARIUM과 연결고리가 있다는 것을 발견했다. BARIUM은 2017년 일어나는 비슷한 공급망 대상 공격으로, 섀도우패드(ShadowPad)라 불리었다. 당시 공격 대상은 금융 산업이었다.

에이수스는 전 세계 5대 PC 업체 중 하나로 평가된다는 점, 그리고 섀도우해머가 정식 인증서를 사용했다는 점에서 이번 공격은 심각하다. 다행히 일반 사용자의 피해는 없을 것으로 보인다. 섀도우패드의 경우도 대상이 ‘관심 대상’으로 여겨질 때만 악성 코드를 다운로드하도록 했다. 하지만 여전히 불안한 사용자라면, 에이수스 라이브 업데이트는 일반적인 윈도우 앱 삭제 방법으로 안전하게 삭제할 수 있다. editor@itworld.co.kr


2019.03.27

에이수스, 섀도우해머 공격 대응 패치 버전과 탐지용 툴 발표

Mark Hachman | PCWorld
에이수스는 지난 화요일 “소수의 디바이스”가 자사의 라이브 업데이트 유틸리티에 대한 공격으로 악성 코드에 감염됐다고 확인했다. 또 해당 앱은 패치가 완료됐다고 밝혔다.
 
ⓒAdam Patrick Murray/IDG

에이수스는 영향을 받은 사용자를 파악했고, 패치된 버전의 소프트웨어를 발표했다고 밝혔다. 새로운 라이브 업데이트 유틸리티는 3.6.8 버전이다. 감염 여부가 의심스러운 사용자는 에이수스가 제공하는 툴을 확인할 수 있다. 에이수스는 또한 자사가 다중 보안 인증 메커니즘을 도입했는데, 여기에는 향상된 엔드 투 엔드 암호화 메커니즘도 포함되어 있다고 밝혔다. 향후 유사한 공격을 방지하기 위해 서버와 최종 사용자 간의 소프트웨어 아키텍처도 강화했다.

에이수스 공식 서버에서 호스팅하는 백도어에 감염된 에이수스 라이브 업데이트 유틸리티는 5만 7,000명 이상이 다운로드해 설치했다. 

보안업체 카스퍼스키가 섀도우해머(ShadowHammer)라고 명명한 이 악성 코드는 실질적으로는 소수의 사용자를 대상으로 한 공격이었다. 카스퍼스키는 아직 조사가 진행 중이라고 밝혔다. 카스퍼스키는 섀도우해머 공격이 전세계적으로 탐지됐으며, 대부분 러시아와 독일 사용자이고, 미국도 전체 감염자의 5% 정도를 차지한다고 밝혔다.

보안 관점에서 이번 악성코드의 가장 충격적인 측면은 적법한 보안 인증서로 서명되어 있다는 것이다. 즉 실제 업데이트와 구분할 수 없도록 진품 인증 도장이 찍혀 있는 것이다. 심지어 에이수스 서버가 호스팅했다. 라이브 업데이트 유틸리티는 에이수스 사이트에서 다운로드할 수 있으며, PC에 사전 탑재되어 제공되기도 한다.

에이수스 라이브 업데이트 소프트웨어는 에이수스 웹사이트에서 프로그램의 새 버전이 나왔는지 확인해 자동으로 PC의 BIOS와 드라이버, 애플리케이션을 업데이트한다. 만약 섀도우해머가 PC로 하여금 다른 사이트에서 악성 BIOS 소프트웨어를 다운로드하도록 한다면, 이 소프트웨어는 PC 전체를 장악할 수도 있다.

카스퍼스키랩은 공격 대상이 공급망이었다고 밝혔다. 특정 제품에 부품을 공급하는 회사들의 네트워크로, 제조 협력업체 다수가 포함될 수도 있다. 어떤 업체를 노리고 어떤 공격을 하려고 했는지는 확실하지 않지만, 카스퍼스키는 이번 공격이 BARIUM과 연결고리가 있다는 것을 발견했다. BARIUM은 2017년 일어나는 비슷한 공급망 대상 공격으로, 섀도우패드(ShadowPad)라 불리었다. 당시 공격 대상은 금융 산업이었다.

에이수스는 전 세계 5대 PC 업체 중 하나로 평가된다는 점, 그리고 섀도우해머가 정식 인증서를 사용했다는 점에서 이번 공격은 심각하다. 다행히 일반 사용자의 피해는 없을 것으로 보인다. 섀도우패드의 경우도 대상이 ‘관심 대상’으로 여겨질 때만 악성 코드를 다운로드하도록 했다. 하지만 여전히 불안한 사용자라면, 에이수스 라이브 업데이트는 일반적인 윈도우 앱 삭제 방법으로 안전하게 삭제할 수 있다. editor@itworld.co.kr


X