newsroom 1/23 '22 posted
시스템 파티션(ESP)을 목표로 하는 FinFisher와 ESPecter와 달리, 새로 발견된 루트킷(로잭스, MosaicRegressor 등)은 하드 드라이브 외부의 비휘발성 스토리지인 SPI 플래시를 대상으로 합니다.

• 연구진은 "감염의 근원은 EFI Boot Services Table의 여러 기능, 즉 AssignPool, CreateEventEx, ExitBootServices의 실행을 가로채는 일련의 후크로부터 시작된다"고 설명했습니다.
• "이러한 후크는 공격자가 CORE_DXE 이미지에 추가하는 악의적인 셸코드로 이러한 함수들의 흐름을 돌리기 위해 사용되며, 이는 다시 윈도우 로더와 같은 부트 체인의 후속 구성 요소에 추가 후크를 설정합니다."
• 펌웨어를 수정한 결과 제거하기가 매우 어려운 수준으로 지속되었을 뿐만 아니라, 팀은 또한 펌웨어 이미지가 "공격자들에 의해 기계 부팅 시퀀스의 원래 실행 흐름을 가로채고 정교한 감염 사슬을 도입할 수 있는 방식으로 수정되었다"고 말합니다."





Open Wiki - Feel free to edit it. -
1/23 '22 answered



permanent link
Open Wiki - Feel free to edit it. -
1/23 '22 answered



permanent link