Thunderspy 공격으로부터 컴퓨터를 보호하기 위한 팁

Thunderbolt 는 (Thunderbolt)Intel 에서 개발한 하드웨어 브랜드 인터페이스입니다 . 컴퓨터와 외부 장치 간의 인터페이스 역할을 합니다. 대부분의 Windows 컴퓨터에는 모든 종류의 포트가 제공되지만 많은 회사에서 Thunderbolt 를 사용하여 다양한 유형의 장치에 연결합니다. 쉽게 연결할 수 있지만 Eindhoven University of Technology 의 연구에 따르면 (Technology)Thunderspy 라는 기술을 사용하여 (Thunderspy)Thunderbolt 이면의 보안을 침해할 수 있습니다 . 이 게시물에서는 Thunderspy(Thunderspy) 로부터 컴퓨터를 보호하기 위해 따를 수 있는 팁을 공유합니다 .

툰 더스 피란(Tunderspy) ? 어떻게 작동합니까?

공격자가 직접 메모리 액세스( DMA ) 기능에 액세스하여 장치를 손상시킬 수 있는 스텔스 공격입니다. 가장 큰 문제는 멀웨어나 링크 미끼를 신경 쓰지 않고 작동하기 때문에 흔적이 남지 않는다는 것입니다. 최상의 보안 방법을 무시하고 컴퓨터를 잠글 수 있습니다. 어떻게 작동합니까? 공격자는 컴퓨터에 직접 액세스해야 합니다. 연구에 따르면 올바른 도구를 사용하면 5분 미만이 소요됩니다.

Thunderspy로부터 보호하기 위한 팁

공격자 는 소스 장치의 Thunderbolt 컨트롤러 펌웨어 를 자신의 장치에 복사합니다. (Thunderbolt Controller Firmware)그런 다음 펌웨어 패처( TCFP )를 사용하여 (TCFP)Thunderbolt 펌웨어 에 적용된 보안 모드를 비활성화합니다 . 수정된 버전은 Bus Pirate(Bus Pirate) 장치 를 사용하여 대상 컴퓨터에 다시 복사됩니다 . 그런 다음 Thunderbolt 기반 공격 장치가 공격 대상 장치에 연결됩니다. 그런 다음 PCILeech 도구를 사용하여 (PCILeech)Windows 로그인 화면 을 우회하는 커널 모듈을 로드합니다 .

따라서 컴퓨터에 보안 부팅(Secure Boot) , 강력한 BIOS 및 운영 체제 계정 암호와 같은 보안 기능이 있고 전체 디스크 암호화가 활성화되어 있어도 모든 것을 우회합니다.

(TIP) : Spycheck는 PC가 Thunderspy 공격에 취약한지 확인합니다 .

Thunderspy로부터 보호하기 위한 팁

Microsoft 는 최신 위협으로부터 보호하는 세 가지 방법을 권장 합니다. (recommends)Windows에 내장된 이러한 기능 중 일부는 활용할 수 있지만 일부는 공격을 완화하기 위해 활성화해야 합니다.

  • 보안 코어 PC 보호
  • 커널 DMA 보호
  • 하이퍼바이저 보호 코드 무결성( HVCI )

즉, 이 모든 것이 Secured-core PC에서 가능합니다. 공격으로부터 보호할 수 있는 하드웨어가 없기 때문에 일반 PC에 이것을 적용할 수 없습니다. PC가 지원하는지 확인하는 가장 좋은 방법 은 Windows 보안(Windows Security) 앱 의 Devic Security 섹션을 확인하는 것입니다.

1] Secured-core PC 보호

Windows Defender 시스템 가드

(Windows Security)Microsoft의 사내 보안 소프트웨어인 Windows Security 는 Windows Defender System Guard 및 가상화 기반 보안을 제공합니다. 그러나 Secured-core PC(Secured-core PCs) 를 사용하는 장치가 필요합니다 . 최신 CPU(CPU) 의 루팅된 하드웨어 보안을 사용 하여 시스템을 신뢰할 수 있는 상태로 시작합니다. 펌웨어 수준에서 맬웨어의 시도를 완화하는 데 도움이 됩니다.

2] 커널 DMA 보호

Windows 10 v1803에 도입된 커널 DMA 보호는 (Kernel DMA)Thunderbolt 와 같은 PCI 핫플러그 장치를 사용하는 (PCI)DMA ( 직접 메모리 액세스(Memory Access) ) 공격 으로부터 외부 주변 장치를 차단 합니다. 누군가가 악성 Thunderbolt 펌웨어를 컴퓨터에 복사하려고 하면 (Thunderbolt)Thunderbolt 포트 를 통해 차단됩니다 . 그러나 사용자가 사용자 이름과 비밀번호를 알고 있으면 이를 우회할 수 있습니다.

3] 하이퍼바이저 보호(Hypervisor-protected) 코드 무결성( HVCI ) 으로 보호 강화(Hardening)

메모리 무결성 핵심 격리 Windows 보안 끄기

하이퍼바이저 보호 코드 무결성 또는 HVCI 는 (HVCI)Windows 10 에서 활성화해야 합니다 . 코드 무결성 하위 시스템을 격리하고 커널 코드가 (Kernel)Microsoft 에서 확인 및 서명되지 않았는지 확인 합니다. 또한 검증되지 않은 코드가 실행되지 않도록 커널 코드가 쓰기 가능하고 실행 가능하지 않도록 합니다.

ThunderspyPCILeech 도구를 사용하여 (PCILeech)Windows 로그인 화면 을 우회하는 커널 모듈을 로드합니다 . HVCI 를 사용 하면 코드 실행을 허용하지 않으므로 이를 방지할 수 있습니다.

컴퓨터를 구입할 때 항상 보안이 최우선이어야 합니다. 특히 비즈니스에서 중요한 데이터를 다루는 경우 Secured-core PC 장치를 구입하는 것이 좋습니다. Microsoft 웹 사이트에서 이러한 장치(such devices) 의 공식 페이지는 다음과 같습니다 .



민성 송

About the author

저는 10년 이상의 Windows 및 Mac 소프트웨어 작업 경험을 가진 정규 소프트웨어 엔지니어입니다. 저는 두 플랫폼 모두에서 애플리케이션을 설계, 테스트 및 배포하는 방법을 알고 있습니다. 보안 및 시스템 관리 경험도 있습니다. 나의 기술과 지식은 더 나은, 더 효율적인 컴퓨터 시스템을 구축하는 데 도움이 될 수 있습니다.


Related posts