디지털 보안은 오래된 문제가 수정되는 것처럼 빠르게(더 빠르지는 않더라도) 새로운 취약점이 발견되는 끊임없는 고양이와 쥐 게임입니다. 최근에는 “Bring Your Own Vulnerable Driver” 공격이 Windows PC에 복잡한 문제가 되고 있습니다.
대부분의 Windows 드라이버는 특정 하드웨어와 상호 작용하도록 설계되었습니다. 예를 들어 Logitech에서 헤드셋을 구입하여 연결하면 Windows에서 Logitech에서 만든 드라이버를 자동으로 설치할 수 있습니다. 그러나 Windows 커널 수준에는 외부 장치와 통신하기 위한 것이 아닌 드라이버가 많이 있습니다. 일부는 저수준 시스템 호출을 디버깅하는 데 사용되며 최근 몇 년 동안 많은 PC 게임에서 치트 방지 소프트웨어로 이를 설치하기 시작했습니다.
Windows는 64비트 Windows Vista부터 기본적으로 서명되지 않은 커널 모드 드라이버의 실행을 허용하지 않습니다. 이로 인해 새로운 서명되지 않은 드라이버를 로드하는 대신 기존 서명된 드라이버를 활용하는 “Bring Your Own Vulnerable Driver” 취약점 또는 줄여서 BYOVD의 인기가 높아졌습니다.
어떻게 작동합니까? 음, Windows PC에 이미 존재하는 취약한 드라이버를 찾는 맬웨어 프로그램이 포함됩니다. 이 취약점은 MSR(모델별 레지스터)에 대한 호출의 유효성을 검사하지 않는 서명된 드라이버를 찾은 다음 이를 이용하여 손상된 드라이버를 통해 Windows 커널과 상호 작용하거나 이를 사용하여 서명되지 않은 드라이버를 로드합니다. 실제 비유를 사용하면 바이러스나 기생충이 숙주 유기체를 사용하여 자신을 퍼뜨리는 것과 같지만 이 경우 숙주는 다른 동인입니다.
이 취약점은 이미 야생에서 맬웨어에 의해 사용되었습니다. ESET 연구원은 ‘InvisiMole’이라는 별명을 가진 한 악성 프로그램이 Almico의 ‘SpeedFan’ 유틸리티용 드라이버에서 BYOVD 취약점을 사용하여 악성 서명되지 않은 드라이버를 로드한다는 사실을 발견했습니다. 비디오 게임 퍼블리셔인 Capcom은 또한 쉽게 하이재킹될 수 있는 안티 치트 드라이버가 포함된 일부 게임을 출시했습니다.
2018년부터 악명 높은 Meltdown 및 Spectre 보안 결함에 대한 Microsoft의 완화 기능은 일부 BYOVD 공격도 방지하고 Intel 및 AMD의 x86 프로세서에 대한 최근 개선 사항은 일부 격차를 좁힙니다. 그러나 모든 사람이 최신 컴퓨터나 최신 전체 패치 버전의 Windows를 가지고 있는 것은 아니므로 BYOVD를 사용하는 맬웨어는 여전히 지속적인 문제입니다. 공격 또한 엄청나게 복잡하기 때문에 Windows의 현재 드라이버 모델로는 공격을 완전히 완화하기 어렵습니다.
향후 발견되는 BYOVD 취약점을 포함하여 모든 맬웨어로부터 자신을 보호하는 가장 좋은 방법은 PC에서 Windows Defender를 계속 사용하도록 설정하고 Windows가 보안 업데이트가 출시될 때마다 설치하도록 하는 것입니다. 타사 바이러스 백신 소프트웨어도 추가 보호 기능을 제공할 수 있지만 일반적으로 내장 Defender로 충분합니다.
출처: ESET
