2019.01.18 죽여도죽지않는 로잭스!LOJAX

1. 로잭스(LoJax)

죽어도 죽지 않는 로잭스(LoJax)라는 멀웨어는 작년 5월 경 발견되었다.

그러나 실제 활동기간은 2016년 후반으로 추전된다.

2. 특징

OS를 재설치하고 하드드라이브를 바꿔도 루트킷이 게속하여 시스템 내에 열린 채로 남아있다고 한다.

LoJax는 UEFI에 영향을 미치며 UEFI는 시스템 운영체제 (OS)가 펌웨어에 연결할 수 있는 인터페이스를 제공한다. 따라서 LoJax는 시스템의 OS를 다시 설치하거나 하드 드라이브를 교체 한 경우에도 UEFI에서 지속될 수 있는 것이다.

이러한 LoJax는 캐나다 회사인 Absolute Software가 만든 도난방지 솔루션(LoJack)을 사용한다.

기존의 LoJack 역시 컴퓨터 도난 시 윈도우 재설치나 하드 교체 후에도 작동하도록 만들어졌다.

OS 펌웨어 로드 전에 시스템 펌웨어에 연결하여 시스템을 다시 감염시키는 방법으로 유지된다!

UEFI가 무엇인지 궁금하니 딴길로 새보자

UEFI란 Enified Extensible Firmware Interface로 통일 확장 펌웨어 인터페이스 이다.

BIOS를 대체하는 새로운 시스템으로 기존 BIOS에서 사용하는 MBR 방식이 아닌 확장된 GPT 형식을 사용한다.

2테라바이트 이상의 디스트 지원 등을 제공하며 Windows에서 지원하는 보안부팅 기능을 사용하기 위해서는 UEFI 지원이 꼭 필요하다.

BIOS/UEFI는 컴퓨터 화면에 다른 컴퓨터 하드웨어(하드드라이브와 DVD 드라이브 등)을 부팅하고 액세스 하는 방법을 알려주고 SPI플래시 내부에 있는 OS화면(Windows, macOS, Linux) 이전에 나타나는 검은색 화면이다.

이러한 LoJax는 아래 3가지 기능을 지원한다.

• 시스템 설정을 텍스트 파일로 덤프

• UEFI / BIOS가 있는 컴퓨터의 SPI (Serial Peripheral Interface)메모리 내용을 읽고 펌웨어 이미지로 저장

• 악의적인 모듈을 펌웨어 이미지에 추가한 후 수정된 펌웨어를 다시 SPI 메모리에 기록

3. 보안방안

개인이 할 수 있는 보안방안은 PC의 보안부팅을 사용하도록 설정하는 것이다.

보안부팅 사용 시 UEFI의 인증되지 않은 펌웨어로 인해 컴퓨터가 부팅되지 않는다.

혹은 마더보드를 교체하거나 새로운 펌웨어를 Flashing하는 방법이 있다.

출처: https://www.boannews.com/media/view.asp?idx=76250