오픈 이슈 갤러리 같이 보고 싶은 유머 글이나 이미지를 올려보세요!
URL 입력
-
감동
어느 세월호 생존자 근황..
[20]
-
계층
폐지 줍줍
[10]
-
유머
게임 오프라인 정모에 나간 초등학생
[52]
-
유머
일본 취업 갤러리 공지글 수준
[42]
-
계층
목줄 끊고 피바다를 만든 진돗개
[26]
-
감동
천사같은 리트리버
[18]
-
계층
스무살, 현 세계랭킹 1위인데 아무도 모름.jpg
[22]
-
유머
일기예보중 방송사고 터짐
[33]
-
계층
슈카) 충격적인 대한민국 자살율 상황..
[37]
-
게임
조용하게 터지는 메갈이슈
[41]
URL 입력
코사카호노카
2017-06-24 13:30
조회: 4,004
추천: 0
윈도우10, 인텔의 프로세서 사용시 취약할 수 있어
Tom's Hardware 번역입니다.
========================================================================== 원제 / CyberArk사 曰: 윈도우10, 인텔의 프로세서 추적 기능으로 인해 루트킷에 취약할 수 있어 공격 방어 전문 보안 회사인 CyberArk사가 인텔 프로세서의 기능을 이요해 윈도우 10의 "패치가드" 커널 보호를 우회하여 후킹을 할 수 있다는 걸 발견했습니다. 또한 이 공격에 노출된 컴퓨터에는 멀웨어를 지속적으로 만들 수 있다고 합니다. 고스트훅(GhostHook) CyberArk사는 MS의 패치가드 커널 보호를 우회해서 위협적인 용도로 쓰일 수 있는 이 후킹을 "고스트훅"이라 이름 지었습니다. CyberArk사는 이 기술로 공격자가 컴퓨터에서 실행되는 어떠한 코드라도 후킹을 할 수 있다고 합니다. 인텔 프로세서 추적기능이 문제가 되어 이 문제는 인텔 프로세서 추적 기능에 의해 문제가 되었습니다. 인텔 프로세서 추적 기능은 하드웨어 상에 소프트웨어의 실행에 대한 정보를 가져오는 것으로, 이 정도는 데이터 패킷으로 저장되고 소프트웨어 디코더로 처리될 수 있다고 합니다. 모아지는 정보는 다음과 같다고 합니다. 타이밍, 프로그램 진행 정보(분기점, 분기 선택됨/선택되지 않음 정보)와 유도된 프로그램 모드(program-induced mode; 주. 적절한 번역어를 모르겠네요.) 관련된 정보(예컨대, Intel TSX state Transitions)입니다. 데이터 패킷은 메모리 하위체계나 다른 방식으로 쓰이기 전에 내부에 버퍼되어 있습니다. 그 뒤, 디버깅 소프트웨어가 이 데이터를 처리한 뒤 프로그램 진행을 재구성합니다. 인텔 프로세서 추적기능은 브로드웰 세대에서 생겨, 스카이레이크 세대에서 확장되었습니다. 이 기능은 소프트웨어 가드 확장 명령어로 보호된 경우가 아니면 CPU에 실행되는 어떤 소프트웨어라도 추적할 수 있게 됩니다. 본래 이 기술은 성능 모니터링, 코드 진단, 디버깅, 퍼징, 멀웨어 진단 및 탐지를 위한 것입니다. 문제는 공격자가 이 기술을 악용해서 쓰레드의 코드 실행을 제어할 수 있다는 것입니다. 공격자가 CPU가 악성 코드를 실행하도록 분기시킬 수 있다고 합니다. 이 방법 중 하나는 인텔 프로세서 추적 기능의 패킷에 매우 작은 버퍼를 할당시켜, CPU의 버퍼 영역이 꽉 차게 되면 악성 코드로 점프해서 "훅"을 생성하게 된다는 것입니다. 문제 해결은 장기간이 될 것으로 보여 이 문제가 윈도우 OS를 실행하고 받치고 있는 하드웨어단의 문제이기 때문에, CyberArk사는 "MS에서 이를 탐지하고 해결하기는 매우 어려울 것"으로 보았다. 이하는 MS사가 CyberArk사에 답한 내용의 일부이다. "엔지니어링 팀이 이 보고에 대한 분석을 끝냈고, 공격자가 시스템의 커널 코드까지 실행하고 있을 수 있다고 밝혀냈다. 따라서, 단순히 보안 업데이트 수준을 넘어 차후 버전의 윈도우에야 해결 될 수도 있을 것이다." MS사도 단순한 업데이트로 이 문제를 해결할 수 없다고 한다. 따라서 이 문제의 해결은 차후 버전의 윈도우가 더 진보된 커널 보호 구조를 갖거나, 인텔이 이후 세대의 CPU에 대해 이와 같은 공격을 못 하도록 만들 때 까지 늦어질 것으로 보인다. 그 때까지 윈도우 10은 윈도우 디펜더 등의 보호를 뚫고 들어올, 혹은 들어왔을 멀웨어와 이를 통한 루트킷 등에 취약할 것으로 보인다. 고스트훅이 인텔 프로세서의 기능이 악용된 첫 경우는 아니다. 연구자들은 또한 인텔의 ME(매니지먼트 엔진) 프로세서나 AMT(액티브 관리 기술)이 멀웨어 설치에 이용될 수 있다는 것을 얼마전에 밝혀냈었다.
http://www.tomshardware.com/news/windows-10-rootkits-intel-pt,34867.html
EXP
309,771
(99%)
/ 310,001
전문가 인벤러 코사카호노카
CPU - AMD R9 3900X (Ryzen)
M/B - ASUS ROG CROSSHAIR VIII HERO (Wi-Fi)
RAM - 삼성전자 DDR4 64GB 25600 (32GB X 2EA )
VGA - SAPPHIRE RADEON RX Vega 64 (Reference) X2 CFX
PSU - CORSAIR PROFESSIONAL SERIES AX1200i PLATINUM
ODD - LG전자 SP80NB60
SSD - Samsung 960 EVO 250GB(NVMe) intel 730 series 480GB
Case - Cooler master cosmos C700P
Monitor - 삼성 C24FG70 3EA Eyefinity
Keyboard - CORSAIR K70 RGB MK.2 LOW PROFILE
Mouse - CORSAIR DARK CORE RGB SE |