2012년에는 새로운 형태의 부트킷이 시연되었습니다. BIOS나 마스터 부트 레코드를 통해 시스템을 대상으로 삼는 대신, 그러한 부트킷 중 하나는 부팅 프로세스를 시작하는 펌웨어 패키지인 EFI를 감염시켜 Mac OS X 시스템을 공격했습니다. 두 번째 매우 원시적인 부트킷은 UEFI의 전신인 UEFI 부트킷을 감염시켜 Windows 8 시스템을 표적으로 삼았습니다. 2013년경, 한 연구원은 Dreamboat라는 Windows용 고급 UEFI 부트킷을 시연했습니다.
UEFI를 표적으로 한 실제 공격의 첫 번째 알려진 사례는 2018년 LoJax라는 악성 코드가 발견되면서 나타났습니다. LoJack으로 알려진 합법적인 도난 방지 소프트웨어의 용도가 변경된 이 버전은 Sednit, Fancy Bear, APT 28 등의 이름으로 추적되는 크렘린 지원 해킹 그룹에 의해 만들어졌습니다. 이 악성 코드는 UEFI 펌웨어 플래시 메모리의 일부를 읽고 덮어쓸 수 있는 악성 코드 도구를 사용하여 원격으로 설치되었습니다.
2020년에 연구원들은 UEFI를 공격하는 실제 맬웨어의 두 번째 알려진 사례를 발견했습니다. 감염된 장치가 재부팅될 때마다 해당 UEFI는 Windows 시작 폴더에 악성 파일이 있는지 확인하고, 없으면 설치했습니다. 이 악성코드를 발견한 보안 제공업체인 Kaspersky의 연구원들은 이 악성코드의 이름을 “MosaicRegressor”라고 명명했습니다. 연구원들은 손상된 UEFI가 어떻게 감염되었는지 아직 확인하지 못했습니다. 그 이후로 몇 가지 새로운 UEFI 부트킷이 등장했습니다. ESpecter, FinSpy 및 MoonBounce를 포함한 이름으로 추적됩니다.
필요는 발명의 어머니이다
위협에 대응하여 Microsoft는 장치 제조업체와 협력하여 암호화 서명을 사용하여 시작 중에 로드된 각 소프트웨어가 컴퓨터 제조업체에서 신뢰할 수 있는지 확인하는 업계 표준인 Secure Boot를 개발했습니다. 보안 부팅은 공격자가 의도한 부팅 펌웨어를 악성 펌웨어로 교체하는 것을 방지하는 신뢰 체인을 생성하도록 설계되었습니다. 시작 체인의 단일 링크가 인식되지 않으면 보안 부팅으로 인해 장치가 시작되지 않습니다.
이 주제에 대해 더 알고 싶다면 아래를 참고하세요