'Complete Control' 해킹이 확인되었으므로 모든 Windows 사용자는 즉시 업데이트해야 합니다.

» 긴 형식

독서 시간 아이콘 4 분. 읽다

달력 아이콘 에 업데이트 됨

by 안몰 메로트라 

업데이트

이 기사 공유

독자들은 MSpoweruser를 지원하는 데 도움을 줍니다. 당사의 링크를 통해 구매하시면 수수료를 받을 수 있습니다. 툴팁 아이콘

공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기

몇 주 전 사이버 보안 회사인 이클립시움(Eclypsium)의 연구원들이 공개 거의 모든 주요 하드웨어 제조업체에는 악성 애플리케이션이 사용자 수준에서 커널 권한을 획득하여 펌웨어 및 하드웨어에 직접 액세스할 수 있는 결함이 있습니다.

연구원들은 Toshiba, ASUS, Huawei, Intel, Nvidia 등을 포함한 BIOS 공급업체 및 하드웨어 제조업체 목록을 발표했습니다. 이 결함은 Windows 7, 8, 8.1 및 Windows 10을 포함하는 모든 새 버전의 Windows에도 영향을 미칩니다. Microsoft는 이미 Windows Defender가 이 문제를 처리할 수 있는 것 이상임을 확인하는 성명을 발표했지만 사용자가 다음을 필요로 한다는 점은 언급하지 않았습니다. 동일한 혜택을 받으려면 최신 버전의 Windows에 있어야 합니다. 이전 버전의 Windows에서 Microsoft는 HVCI(Hypervisor-enforced Code Integrity) 기능을 사용하여 보고된 드라이버를 블랙리스트에 올릴 것이라고 밝혔습니다. 불행히도 이 기능은 7세대 이상 Intel 프로세서에서만 사용할 수 있습니다. 따라서 구형 CPU 또는 HCVI가 비활성화된 최신 CPU는 드라이버를 수동으로 제거해야 합니다.

이것이 나쁜 소식이 아니었다면 해커는 이제 이 결함을 사용하여 사용자를 악용했습니다. 원격 액세스 트로이 목마 또는 RAT는 수년 동안 존재했지만 최근 개발로 인해 그 어느 때보다 위험해졌습니다. NanoCore RAT는 Dark Web에서 $25에 판매되었지만 2014년에 다시 금이 가서 무료 버전이 해커에게 제공되었습니다. 그 후, 새로운 플러그인이 추가되면서 도구가 정교해졌습니다. 이제 LMNTRX Labs의 연구원들은 해커가 이 결함을 이용할 수 있도록 하는 새로운 추가 기능을 발견했으며 이제 이 도구를 Dark Web에서 무료로 사용할 수 있습니다.

이 도구를 과소평가한 경우 해커가 원격으로 시스템을 종료하거나 재부팅하고, 원격으로 파일을 탐색하고, 작업 관리자, 레지스트리 편집기 및 마우스에 액세스 및 제어할 수 있습니다. 뿐만 아니라 공격자는 웹 페이지를 열고 웹캠 활동 표시등을 비활성화하여 피해자가 눈치채지 못하게 감시하고 오디오 및 비디오를 캡처할 수도 있습니다. 공격자는 컴퓨터에 대한 전체 액세스 권한이 있으므로 키로거를 사용하여 암호를 복구하고 로그인 자격 증명을 얻을 수 있을 뿐만 아니라 랜섬웨어처럼 작동할 수 있는 사용자 지정 암호화로 컴퓨터를 잠글 수 있습니다.

좋은 소식은 NanoCore RAT가 수년간 사용되어 왔으며 이 소프트웨어는 보안 연구원들에게 잘 알려져 있다는 것입니다. LMNTRX 팀 (를 통해 포브스)는 탐지 기술을 세 가지 주요 범주로 분류했습니다.

  • T1064 – 스크립팅: 스크립팅은 일반적으로 시스템 관리자가 일상적인 작업을 수행하는 데 사용하므로 PowerShell 또는 Wscript와 같은 합법적인 스크립팅 프로그램의 비정상적인 실행은 의심스러운 동작을 나타낼 수 있습니다. 오피스 파일에서 매크로 코드를 확인하면 공격자가 사용하는 스크립팅을 식별하는 데 도움이 될 수도 있습니다. cmd.exe의 인스턴스를 생성하는 winword.exe 또는 wscript.exe 및 powershell.exe와 같은 스크립트 응용 프로그램과 같은 Office 프로세스는 악의적인 활동을 나타낼 수 있습니다.
  • T1060 – 레지스트리 실행 키/시작 폴더: 알려진 소프트웨어 또는 패치 주기와 상관 관계가 없는 키를 실행하기 위해 레지스트리 변경을 모니터링하고 추가 또는 변경이 있는지 시작 폴더를 모니터링하면 맬웨어를 감지하는 데 도움이 될 수 있습니다. 시작 시 실행되는 의심스러운 프로그램은 과거 데이터와 비교할 때 이전에 볼 수 없었던 이상치 프로세스로 나타날 수 있습니다. 이러한 중요한 위치를 모니터링하고 의심스러운 변경 또는 추가에 대해 경고를 발생시키는 LMNTRIX 응답과 같은 솔루션은 이러한 동작을 감지하는 데 도움이 될 수 있습니다.
  • T1193 – 스피어피싱 첨부 파일: LMNTRIX Detect와 같은 네트워크 침입 탐지 시스템은 전송 중인 악성 첨부 파일이 있는 스피어피싱을 탐지하는 데 사용할 수 있습니다. LMNTRIX Detect의 경우 내장된 폭발 챔버는 서명이 아닌 행동을 기반으로 악성 첨부 파일을 탐지할 수 있습니다. 이는 서명 기반 탐지가 페이로드를 자주 변경하고 업데이트하는 공격자로부터 보호하지 못하는 경우가 많기 때문에 중요합니다.

전반적으로 이러한 탐지 기술은 조직과 개인/가정 사용자에게 적용됩니다. 지금 당장 해야 할 가장 좋은 일은 모든 소프트웨어를 업데이트하여 최신 버전에서 실행되고 있는지 확인하는 것입니다. 여기에는 Windows 드라이버, 타사 소프트웨어 및 Windows 업데이트가 포함됩니다. 가장 중요한 것은 의심스러운 이메일을 다운로드하거나 열거나 알 수 없는 공급업체의 타사 소프트웨어를 설치하지 마십시오.

주제에 대한 추가 정보: 어플리케이션, 마구 자르기, 마이크로 소프트, 에스컬레이션의 특권, , 윈도우 10, 윈도우 8

안몰 메로트라

안몰 메로트라 방패

Android 및 Windows 뉴스 리포터

Anmol은 Android 및 Windows 뉴스를 다룹니다. 그는 XNUMX년 이상의 경험을 가진 기술 작가입니다.