Tom's Hardware 번역입니다.

========================================================================== 

원제 / CyberArk사 曰: 윈도우10, 인텔의 프로세서 추적 기능으로 인해 루트킷에 취약할 수 있어

공격 방어 전문 보안 회사인 CyberArk사가 인텔 프로세서의 기능을 이요해 윈도우 10의 "패치가드" 커널 보호를 우회하여 후킹을 할 수 있다는 걸 발견했습니다.

또한 이 공격에 노출된 컴퓨터에는 멀웨어를 지속적으로 만들 수 있다고 합니다.

고스트훅(GhostHook)

CyberArk사는 MS의 패치가드 커널 보호를 우회해서 위협적인 용도로 쓰일 수 있는 이 후킹을 "고스트훅"이라 이름 지었습니다. CyberArk사는 이 기술로 공격자가 컴퓨터에서 실행되는 어떠한 코드라도 후킹을 할 수 있다고 합니다.

인텔 프로세서 추적기능이 문제가 되어

이 문제는 인텔 프로세서 추적 기능에 의해 문제가 되었습니다. 인텔 프로세서 추적 기능은 하드웨어 상에 소프트웨어의 실행에 대한 정보를 가져오는 것으로, 이 정도는 데이터 패킷으로 저장되고 소프트웨어 디코더로 처리될 수 있다고 합니다.

모아지는 정보는 다음과 같다고 합니다. 타이밍, 프로그램 진행 정보(분기점, 분기 선택됨/선택되지 않음 정보)와 유도된 프로그램 모드(program-induced mode; 주. 적절한 번역어를 모르겠네요.) 관련된 정보(예컨대, Intel TSX state Transitions)입니다. 데이터 패킷은 메모리 하위체계나 다른 방식으로 쓰이기 전에 내부에 버퍼되어 있습니다. 그 뒤, 디버깅 소프트웨어가 이 데이터를 처리한 뒤 프로그램 진행을 재구성합니다.

인텔 프로세서 추적기능은 브로드웰 세대에서 생겨, 스카이레이크 세대에서 확장되었습니다. 이 기능은 소프트웨어 가드 확장 명령어로 보호된 경우가 아니면 CPU에 실행되는 어떤 소프트웨어라도 추적할 수 있게 됩니다. 본래 이 기술은 성능 모니터링, 코드 진단, 디버깅, 퍼징, 멀웨어 진단 및 탐지를 위한 것입니다. 

문제는 공격자가 이 기술을 악용해서 쓰레드의 코드 실행을 제어할 수 있다는 것입니다. 공격자가 CPU가 악성 코드를 실행하도록 분기시킬 수 있다고 합니다. 이 방법 중 하나는 인텔 프로세서 추적 기능의 패킷에 매우 작은 버퍼를 할당시켜, CPU의 버퍼 영역이 꽉 차게 되면 악성 코드로 점프해서 "훅"을 생성하게 된다는 것입니다.

문제 해결은 장기간이 될 것으로 보여

이 문제가 윈도우 OS를 실행하고 받치고 있는 하드웨어단의 문제이기 때문에, CyberArk사는 "MS에서 이를 탐지하고 해결하기는 매우 어려울 것"으로 보았다.

이하는 MS사가 CyberArk사에 답한 내용의 일부이다.

"엔지니어링 팀이 이 보고에 대한 분석을 끝냈고, 공격자가 시스템의 커널 코드까지 실행하고 있을 수 있다고 밝혀냈다. 따라서, 단순히 보안 업데이트 수준을 넘어 차후 버전의 윈도우에야 해결 될 수도 있을 것이다."

MS사도 단순한 업데이트로 이 문제를 해결할 수 없다고 한다. 따라서 이 문제의 해결은 차후 버전의 윈도우가 더 진보된 커널 보호 구조를 갖거나, 인텔이 이후 세대의 CPU에 대해 이와 같은 공격을 못 하도록 만들 때 까지 늦어질 것으로 보인다. 그 때까지 윈도우 10은 윈도우 디펜더 등의 보호를 뚫고 들어올, 혹은 들어왔을 멀웨어와 이를 통한 루트킷 등에 취약할 것으로 보인다.

고스트훅이 인텔 프로세서의 기능이 악용된 첫 경우는 아니다. 연구자들은 또한 인텔의 ME(매니지먼트 엔진) 프로세서나 AMT(액티브 관리 기술)이 멀웨어 설치에 이용될 수 있다는 것을 얼마전에 밝혀냈었다.

http://www.tomshardware.com/news/windows-10-rootkits-intel-pt,34867.html