요약 : 보안 블로그 시큐리티어페어즈에 의하면 공격자들이 오래된 어베스트(Avast)의 드라이버를 악용하는 중이라고 한다. 보안 업체 트렐릭스(Trellix)가 발견한 것으로, 공격자는 어베스트 안티룻킷(Anti-Rootkit) 드라이버인 aswArPot.sys를 통해 피해자 시스템의 깊숙한 곳으로 침투해 들어갈 수 있게 된다고 한다. 이 드라이버는 커널 층위에서 작동하기 때문에 공격자들에게 여러 가지 권한을 제공하기도 한다. 그래서 공격자들은 시스템 장악도 가능하며, 이를 통해 각종 프로세스를 종료시킬 수도 있게 된다. 현재 공격자들은 보안 관련 프로세스들을 종료시키는 데 이를 활용하고 있다.


배경 : 공격자들은 142개의 보안 제품을 종료시키고 있는데, 유명 보안 기업들에서 나온 것들이 대부분인 것으로 조사됐다. 어베스트는 물론 이셋(ESET), 맥아피(McAfee), 마이크로소프트(Microsoft), 센티넬원(SentinelOne), 소포스(Sophos), 트렌드마이크로(Trend Micro) 등이다. 보안 제품을 무력화시키는 방식의 공격에 해커들이 점점 익숙해지고 있다.

말말말 : “오래된 드라이버가 문제가 되는 건, 특히 직원 개개인들이 각자의 장비를 가지고 자유롭게 회사 네트워크에 접속할 때입니다. 개인들은 기업처럼 드라이버나 소프트웨어를 늘 최신화하지 않기 때문입니다. 그래서 오래된 드라이버가 문제의 근원이 될 때, 기업들은 각 임직원들의 개인 장비를 먼저 검사해야 합니다.” -트렐릭스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>