공격자, 이를 이용해 권한 상승시키고 보안 솔루션 비활성화
보안 업계에 따르면, 악성코드가 오래된 어베스트(Avast) 안티루트킷(Anti-Rootkit) 드라이버의 취약점을 악용해 보안 소프트웨어를 비활성화하고 시스템을 장악하는 새로운 공격 캠페인이 발견됐다.
이 공격은 ‘취약한 드라이버를 이용한 공격’(BYOVD, Bring Your Own Vulnerable Driver) 기법을 활용해 신뢰받는 드라이버를 무기화하여 악성 활동을 수행한다.
공격은 kill-floor.exe라는 악성 파일이 Avast의 취약한 드라이버(ntfs.bin)를 시스템에 배포하며 시작된다. 이후 윈도우 서비스 제어 도구(sc.exe)를 사용해 해당 드라이버를 aswArPot.sys로 등록하고 활성화한다. 이렇게 활성화된 드라이버는 커널 레벨에서 작동해 운영체제의 중요한 부분에 접근할 수 있게 되며, 이를 통해 시스템 방어 기능을 무력화한다.
악성코드는 142개의 보안 소프트웨어 관련 프로세스 이름이 하드코딩된 목록을 활용해 활성화된 프로세스를 지속적으로 스캔하고, 일치하는 프로세스를 발견하면 이를 종료한다. 이에 따라 마이크로소프트 디펜더(Microsoft Defender), 시만텍(현 브로드컴) 보안 솔루션, 소포스(Sophos), 트렌드마이크로(Trend Micro), 센티넬원(SentinelOne), ESET, 블랙베리(BlackBerry) 등의 주요 보안 소프트웨어가 표적이 된 것으로 확인됐다.
이 Avast 안티루트킷 드라이버의 취약점은 이번이 처음 악용된 사례가 아니다. 2022년 초, 트렌드마이크로는 AvosLocker 랜섬웨어가 동일한 드라이버를 사용해 안티바이러스 소프트웨어를 비활성화한 사례를 보고한 바 있다. 또, 같은 시기 쿠바(Cuba) 랜섬웨어에서도 유사한 방식으로 보안 소프트웨어를 종료한 사례가 발견됐다.
2021년 말에는 센티넬랩스(SentinelLabs)가 Avast 안티루트킷 드라이버에서 두 가지 심각한 취약점(CVE-2022-26522 및 CVE-2022-26523)을 발견했다. 이 취약점은 2016년부터 존재했으며, 공격자가 이를 이용해 권한을 상승시키고 보안 솔루션을 비활성화할 수 있었다. Avast는 이 취약점을 보고받은 후 업데이트를 통해 이를 수정했다.
전문가들은 취약한 드라이버를 활용한 공격을 막기 위해 드라이버의 서명이나 해시를 기반으로 이를 탐지하고 차단할 수 있는 규칙을 사용하는 것을 권장했다. 엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR) 또는 안티바이러스 소프트웨어에서 이러한 보호 규칙을 적용하면 악성코드가 드라이버를 악용해 권한을 상승시키거나 보안 기능을 비활성화하는 것을 방지할 수 있다.
마이크로소프트도 이에 대응하기 위해 취약한 드라이버 블록리스트 정책 파일을 제공하고 있으며, 윈도우 11 2022 업데이트부터는 이 블록리스트가 기본적으로 활성화되어 있다. 이는 취약한 드라이버를 이용한 공격을 차단하는 데 중요한 역할을 한다.
이번 사례는 신뢰받는 드라이버가 악의적인 행위에 악용될 수 있음을 보여주며, 보안 위협이 점점 더 복잡해지고 있음을 시사한다.
