2015.08.10

내부 LTE/3G 모뎀 속 악성코드, OS 재설치에도 살아남아 해킹한다...DEF CON

Lucian Constantin | CIO
연구원들은 비즈니스 노트북과 태블릿 내부에 있는 인기있는 LTE/3G 모뎀 모듈에서 악의적인 펌웨어를 만드는 법을 발견했다.

독자적인 전용 프로세서와 운영체제를 갖고 있는 LTE/3G 모뎀은 해커들에게 감염된 기기에 지속적인 은밀한 접속을 유지할 수 있는 방법을 제공함으로써 기업 노트북과 태블릿에게 치명적인 취약점을 안겨줄 수 있다.

미국 라스베이거스에서 개최된 DEF CON 보안 컨퍼런스에서 인텔 보안 그룹 연구원 미키 스카토프와 제시 미첼은 8월 8일 한 컴퓨터에 악성코드 프로그램을 어떻게 설치하는지 데모를 시연했다.

이를 통해 많은 기기에 포함되어 있는 화웨이 LTE 모뎀 모듈의 펌웨어를 재설치할 수 있었다.
리눅스 기반의 운영체제, 안드로이드 기반에서 실행되는 이 모듈은 해당 컴퓨터의 메인 운영시스템과는 완벽하게 독립적으로 운용된다. 이 모듈은 내부 USE 인터페이스로 컴퓨터와 연결되어 있는데, 키보드, 마우스, CD-ROM 드라이브, 네트워크 카드, 또는 다른 USE 드라이브를 에뮬레이트해 지시를 내릴 수 있다.

이는 이 모듈이 기본 운영체제와 연결될 수 있음을 의미한다

인텔 연구원들에 의해 발견된 주요 문제는 이 모뎀의 펌웨어가 업데이트 프로세스에서 안전하지 않고 암호 서명 확인이 없다는 점이다. 이 결함은 각 개발업체에 의해 제공되는 윈도우 업데이트 유틸리티를 통해 악의적인 펌웨어 이미지를 만드는 것을 허용한다.

악의적인 펌웨어는 이미 컴퓨터에 실행된 악의적인 프로그램에 의해 신호를 보낼 수 있다. 또한 만약 공격자가 새로운 업데이트라고 사용자를 속인다면 사용자 스스로 신호를 보내게 된다.

이 공격이 성공한다면, 사용자가 운영체제를 재설치하더라도 기본 운영체제를 재감염시킬 수 있는 방법을 제공한다. 게다가 이 사기 펌웨어는 향후 펌웨어 업데이트 요청들을 무시하도록 수정할 수 있다.

이 해킹에 당한 사용자는 자신의 노트북이나 태블릿에서 감염된 모뎀 모듈을 빼버리지 않는 한 해결할 수 있는 방법이 없다.

연구원들은 "화웨이는 이 문제에 대해 빠르게 반응해 이 모듈은 현재 비인가 펌웨어 이미지 사용을 막는 안전 부트를 허용하고 있다"며, "이런 빠른 대처는 아주 잘 한 것"이라고 덧붙였다.

이 연구원들은 "이번 시연은 독립 실행 환경에서 운용되는 독자적인 모뎀과 다른 요소들로 인해 안티바이러스나 다른 보안 프로그램에서는 보이지 않고 운영체제를 깨끗이 지워도 살아남을 수 있는 악성코드가 발생할 수 있으며 안전한 소프트웨어 업데이트가 왜 중요한 지를 알려준다"고 말했다. editor@itworld.co.kr


2015.08.10

내부 LTE/3G 모뎀 속 악성코드, OS 재설치에도 살아남아 해킹한다...DEF CON

Lucian Constantin | CIO
연구원들은 비즈니스 노트북과 태블릿 내부에 있는 인기있는 LTE/3G 모뎀 모듈에서 악의적인 펌웨어를 만드는 법을 발견했다.

독자적인 전용 프로세서와 운영체제를 갖고 있는 LTE/3G 모뎀은 해커들에게 감염된 기기에 지속적인 은밀한 접속을 유지할 수 있는 방법을 제공함으로써 기업 노트북과 태블릿에게 치명적인 취약점을 안겨줄 수 있다.

미국 라스베이거스에서 개최된 DEF CON 보안 컨퍼런스에서 인텔 보안 그룹 연구원 미키 스카토프와 제시 미첼은 8월 8일 한 컴퓨터에 악성코드 프로그램을 어떻게 설치하는지 데모를 시연했다.

이를 통해 많은 기기에 포함되어 있는 화웨이 LTE 모뎀 모듈의 펌웨어를 재설치할 수 있었다.
리눅스 기반의 운영체제, 안드로이드 기반에서 실행되는 이 모듈은 해당 컴퓨터의 메인 운영시스템과는 완벽하게 독립적으로 운용된다. 이 모듈은 내부 USE 인터페이스로 컴퓨터와 연결되어 있는데, 키보드, 마우스, CD-ROM 드라이브, 네트워크 카드, 또는 다른 USE 드라이브를 에뮬레이트해 지시를 내릴 수 있다.

이는 이 모듈이 기본 운영체제와 연결될 수 있음을 의미한다

인텔 연구원들에 의해 발견된 주요 문제는 이 모뎀의 펌웨어가 업데이트 프로세스에서 안전하지 않고 암호 서명 확인이 없다는 점이다. 이 결함은 각 개발업체에 의해 제공되는 윈도우 업데이트 유틸리티를 통해 악의적인 펌웨어 이미지를 만드는 것을 허용한다.

악의적인 펌웨어는 이미 컴퓨터에 실행된 악의적인 프로그램에 의해 신호를 보낼 수 있다. 또한 만약 공격자가 새로운 업데이트라고 사용자를 속인다면 사용자 스스로 신호를 보내게 된다.

이 공격이 성공한다면, 사용자가 운영체제를 재설치하더라도 기본 운영체제를 재감염시킬 수 있는 방법을 제공한다. 게다가 이 사기 펌웨어는 향후 펌웨어 업데이트 요청들을 무시하도록 수정할 수 있다.

이 해킹에 당한 사용자는 자신의 노트북이나 태블릿에서 감염된 모뎀 모듈을 빼버리지 않는 한 해결할 수 있는 방법이 없다.

연구원들은 "화웨이는 이 문제에 대해 빠르게 반응해 이 모듈은 현재 비인가 펌웨어 이미지 사용을 막는 안전 부트를 허용하고 있다"며, "이런 빠른 대처는 아주 잘 한 것"이라고 덧붙였다.

이 연구원들은 "이번 시연은 독립 실행 환경에서 운용되는 독자적인 모뎀과 다른 요소들로 인해 안티바이러스나 다른 보안 프로그램에서는 보이지 않고 운영체제를 깨끗이 지워도 살아남을 수 있는 악성코드가 발생할 수 있으며 안전한 소프트웨어 업데이트가 왜 중요한 지를 알려준다"고 말했다. editor@itworld.co.kr


X