최신 보안 동향

[참고]BIOS, MBR 변조 시도 악성파일 출현

TACHYON & ISARC 2011. 10. 7. 14:44
1. 개 요


최근 BIOS와 MBR 변조를 시도하는 악성파일이 등장하여 사용자들의 각별한 주의가 요망된다. BIOS, MBR이 변조될 경우 지속적인 재감염 증상을 유발할 수 있으나, 해당 악성파일은 현재까지 특별한 감염 증상이 없고 몇가지 정황으로 미루어 보아 테스트 용도로 제작되었음이 추정되고 있다. 그러나 BIOS와 MBR이 변조되면 백신을 통한 정상적인 치료에 어려움이 있을 수 있다. 때문에 이번 글을 통해 BIOS와 MBR이 변조될 경우 수행할 수 있는 간단한 수동조치 방법에 대해 알아보고 피해를 미연에 최소화 할 수 있도록 하자.

BIOS(Basic Input Output System)

- 컴퓨터의 가장 기본적인 기능을 처리해 주는 프로그램들의 집합을 의미하며, 운영체제의 가장 하위에 속해 있다. BIOS는 입출력장치나 주변장치의 구동을 위한 루틴들의 집합체라고 할 수 있으며, 모든 소프트웨어는 BIOS의 계층을 기반으로 동작하게 된다.

MBR(Master Boot Record)

- 시스템 구동에 관련된 영역이며, 컴퓨터 구동 시 가장 먼저 하드 디스크의 MBR에 기록되어 있는 프로그램이 읽혀진다. 따라서 해당 영역이 손상되면 컴퓨터 구동이 어려울 수 있다.
  

2. 유포 및 감염 증상

해당 악성파일은 아래와 같은 URL을 통해 최초 유포되었던 것으로 알려졌으나, 현재는 해당 사이트가 차단되어있다.

[유포 추정 URL]

http://dh.(생략).info:806/test/(생략)/calc.exe

자세히 살펴보면 "test"가 URL에 존재하고 있으며, 이는 해당 악성파일이 테스트 용도로 제작 되었음을 추정하는 한 단서가 될 수 있다. 

해당 악성파일은 이번에 확인된 유포지 외에도 이메일의 첨부파일 형태나 메신저, SNS 등의 링크 접속을 통해 다운로드 될 수 있으며, 취약점이 존재하는 웹 사이트에 삽입되어 유포되는 등 다양한 방법으로 추가적인 유포가 이루어질 수 있다. 

이번에 발견된 해당 악성파일은 감염된 PC의 BIOS를 확인하여 Award BIOS일 경우에만 BIOS, MBR 모두 변조를 시도한다. 해당 악성파일에 의한 생성파일 및 BIOS/MBR 변조 등 감염 정보는 아래의 설명 및 그림을 참고할 수 있도록 하자.
  

◆ 생성파일

▶ 생성 순서

ㄱ. C:\bios.sys
   
☞ Award BIOS 여부 확인
ㄴ. C:\bios.sys1, C:\bios.sys2
   
☞ beep.sys 파일을 대체하여 서비스 로드 후 삭제된다.
ㄷ. C:\my.sys
   
☞ IRP_MJ_READ, IRP_MJ_WRITE, IRP_MJ_DEVICE_CONTROL 등 Hooking
     ☞ 루트킷 동작 코드 포함
     ☞ 변조된 MBR 보호 기능
ㄹ. (사용자 임시 폴더)\bios.bin
   
☞ 감염 시 정상 BIOS에 대한 정보 저장
ㅁ. (사용자 임시 폴더)\cbrom.exe(정상파일)
   
☞ BIOS가 감염되지 않았을 경우 악성 rom 파일을 ISA ROM에 추가
ㅂ. (사용자 임시 폴더)\hook.rom
   
☞ ISA ROM에 삽입되어 BIOS 동작 시 악성 동작이 가능할 수 있다.

※ (사용자 임시 폴더)는 일반적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp"을 말한다.

※ ISA(Industry Standard Architecture)는 현재는 PCI 등으로 대체되어 많이 사용되지 않는 방식의 아키텍쳐이다.해당 악성파일은 BIOS에 ISA ROM 영역 설정 등으로 악용이 가능한 점을 이용한 것으로 추정되고 있다.
     ☞ http://en.wikipedia.org/wiki/Industry_Standard_Architecture

◆ 동작 설명

▶ bios.sys 생성 / Award BIOS 여부 확인 / 분기점 존재(Award BIOS가 아닐 시)

우선 감염 시 bios.sys파일이 가장 먼저 생성되며, bios.sys 파일 생성 직후 아래의 감염 동작이 진행된다.

[bios.sys1 / bios.sys2 파일 생성]

 - bios.sys1
 - bios.sys2
 - 해당 파일들은 beep.sys 파일을 대체하여 서비스에 로드된 후 바로 삭제되며, 이 과정에서 beep.sys 파일은 다시 복구 된다.

그 후 bios.sys 파일은 감염된 PC의 BIOS가 Award BIOS인지 확인하는 작업을 진행한다. (여기서 분기점이 생기는데 만약 Award BIOS가 아닐 경우 BIOS 감염 루틴을 생략하고 동일한 감염증상을 보이는 것으로 알려졌다.)감염된 PC에서 Award BIOS가 확인될 경우 bios.sys는 아래의 그림과 같이 SMI_PORT를 찾고, BIOS 사이즈를 정하게 된다.


▶ bios.bin / my.sys 생성 과정

bios.sys는 또한, my.sys 파일을 드롭하며, 현 상태의 BIOS 정보를 저장(bios.bin)하고 저장된 BIOS 정보에 "hook.rom"의 존재 여부를 체크하여 존재하지 않을 경우 bios.bin에 hook.rom을 추가 시도를 한다.

▶ cbrom.exe / hook.rom 생성 / BIOS 감염 과정

이 과정에서 cbrom.exe 툴이 생성되며, 해당 툴은 /isa 파라메터를 이용하여 아래의 그림과 같이 ISA ROM에 hook.rom을 삽입하게 된다.


위 감염 과정까지 완료되면 BIOS에 대한 감염 작업은 마무리 된다.

▶ MBR 변조 과정

BIOS에 대한 감염 과정이 진행되면서 숙주 파일에 의해 MBR이 변조되는 감염 증상을 유발한다. 이때 백업을 위해 특정 영역에 정상 MBR 값을 저장하게 된다.

아래의 그림은 정상 MBR 값이 sector 7에 저장 되기전 정상 MBR 값을 추출하는 과정이다.


위 과정이 완료되면 아래의 그림과 같이 정상 MBR 값을 변조하는 과정을 거치게 된다.


아래의 그림과 같이 정상/악성 MBR 값에 대한 확인이 가능하다.

                                                                             [정상 MBR]

                                                             [변조된 MBR]


▶ my.sys 감염 증상

추가적으로 생성된 my.sys 파일은 IRP_MJ_READ, IRP_MJ_WRITE, IRP_MJ_DEVICE_CONTROL에 대한 Hooking 등의 기능을 수행하는 것으로 알려졌으며, 변조된 MBR에 대한 수정을 방지하는 기능 구현이 내부에 존재한다. 

Device_Object 구조체에서 Driver_Object의 위치를 선정하고 루트킷 기능의 선 실행을 통해 Call 결과를 조작하는 등 Stealth Function 코드가 내부에 존재하지만 현재 감염 증상으로 미루어보아 일반적인 루트킷 기능은 동작하지 않는 것으로 확인되고 있다.

  

위와 같이 해당 악성파일에 의한 감염 동작이 모두 완료되었을 경우 재부팅 시 아래의 그림과 같이 특정 문구("Find it OK")가 출력되는 화면을 볼 수 있다.


위 그림과 같이 재부팅 시 특정 문구("Find it OK")가 화면에 출력되기 위해 MBR이 변조되는 과정에서 아래의 그림과 같이 해당 특정 문구가 변조된 MBR에 포함되어 있다.


3. BIOS, MBR 수동 복구 방법

위와 같은 악성파일에 감염되어 BIOS와 MBR이 변조되면 일반 백신으로 완벽한 치료가 어려울 수 있다. 이러할 경우 아래와 같은 수동 조치 방법을 통해 정상값으로 복원할 수 있으니 참고할 수 있도록 하자.

  

◆ BIOS 수동 복구 방법

BIOS가 변조되었을 경우 감염된 PC의 메인보드 제작사에서 배포하는 BIOS 업데이트 모듈을 통해 복원하는 것이 가장 간단한 방법이다.

아래의 그림은 GIGABYTE 사에서 제공하는 BIOS 업데이트 모듈을 예로 든 방법이니 참고하여 각 PC에 해당하는 메인보드 업체에서 제공중인 업데이트 모듈을 다운로드 받아 복원할 수 있도록 하자.


◆ MBR 복원 방법

MBR이 변조되었을 경우 가지고 있는 "윈도우 설치 CD"를 통해 쉽게 복구가 가능하다. 아래의 그림을 참고하여 변조된 MBR을 복구할 수 있도록 하자.

"윈도우 설치 CD"를 통해 부팅 후 아래의 그림과 같이 키보드에서 "R" 키를 입력하여 복구 콘솔을 실행한다.


② 아래의 그림과 같이 "로그온할 Windows 설치를 선택하십시오." 메시지가 출력되면 키보드에서 숫자 "1"키를 누른 후 계정 암호 입력창이 출력되면 암호 입력 후 Enter키를 누른다. 그 후 "C:\WINDOWS>_" 와 같이 프롬프트가 활성화 되면 "fixmbr" 명령어를 입력 후 Enter키를 누른다. 아래의 그림과 같은 "주의" 메시지가 출력된 후 MBR 생성 여부를 묻는 메시지가 출력되면 키보드에서 "Y"키를 입력한다.

  

위의 방법을 통해 BIOS, MBR 감염에 대한 수동 복구 조치를 모두 진행하면 아래의 그림과 같이 PC 재부팅 시 특정 문구("Find it OK")가 더이상 출력되지 않는 등 수동 복구 조치 완료에 대한 확인이 가능하다.


4. 예방 조치 방법

BIOS, MBR이 변조되는 경우 위에서 설명했듯이 백신에 의한 완벽한 치료가 어렵다. 또한, 위와 같은 수동 복구 조치도 매우 번거로워 일반 사용자의 경우 복구에 어려움을 느낄 수 있다. 결국 이러한 악성파일로부터 안전한 PC사용을 위해서는 잉카인터넷에서 배포하는 MBR Guard 등 MBR 영역을 보호할 수 있는 사전 방역 프로그램 사용과 동시에 아래와 같은 "보안 관리 수칙"을 준수하는 것이 무엇보다 중요하다고 할 수 있다.

  

[MBR Guard V3]

http://avs.nprotect.net/FreeAV/NPMBRGuardSetup.exe
  

※ 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 백신을 최신 엔진 및 패턴 버전으로 업데이트해 사용해야하며, 반드시 실시간 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 윈도우와 같은 OS 및 각종 응용프로그램에 대한 최신 보안패치 생활화.

3. 메신저, SNS 등을 통한 링크 접속을 주의한다.

4. 발신처가 불분명한 이메일의 경우 열람 및 첨부파일 다운로드를 자제한다.

5. 정보에 대한 출처가 불분명한 SNS 혹은 메신저 등을 통해 첨부파일을 다운로드했을 경우 반드시 백신 검사 후 실행할 수 있도록 한다.


※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 위와 같은 악성파일에 대해 아래와 같은 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.

◆ 진단 현황

 - Trojan/W32.Agent.130048.IS
 - Trojan/W32.Small.5632.DS
 - Trojan.Generic.KDV.354955