Tom's Hardware 번역입니다.
==========================================================================
원제 / CyberArk사 曰: 윈도우10, 인텔의 프로세서 추적 기능으로 인해 루트킷에 취약할 수 있어
공격 방어 전문 보안 회사인 CyberArk사가 인텔 프로세서의 기능을 이요해 윈도우 10의 "패치가드" 커널 보호를 우회하여 후킹을 할 수 있다는 걸 발견했습니다.
또한 이 공격에 노출된 컴퓨터에는 멀웨어를 지속적으로 만들 수 있다고 합니다.
고스트훅(GhostHook)
CyberArk사는 MS의 패치가드 커널 보호를 우회해서 위협적인 용도로 쓰일 수 있는 이 후킹을 "고스트훅"이라 이름 지었습니다. CyberArk사는 이 기술로 공격자가 컴퓨터에서 실행되는 어떠한 코드라도 후킹을 할 수 있다고 합니다.
인텔 프로세서 추적기능이 문제가 되어
이 문제는 인텔 프로세서 추적 기능에 의해 문제가 되었습니다. 인텔 프로세서 추적 기능은 하드웨어 상에 소프트웨어의 실행에 대한 정보를 가져오는 것으로, 이 정도는 데이터 패킷으로 저장되고 소프트웨어 디코더로 처리될 수 있다고 합니다.
모아지는 정보는 다음과 같다고 합니다. 타이밍, 프로그램 진행 정보(분기점, 분기 선택됨/선택되지 않음 정보)와 유도된 프로그램 모드(program-induced mode; 주. 적절한 번역어를 모르겠네요.) 관련된 정보(예컨대, Intel TSX state Transitions)입니다. 데이터 패킷은 메모리 하위체계나 다른 방식으로 쓰이기 전에 내부에 버퍼되어 있습니다. 그 뒤, 디버깅 소프트웨어가 이 데이터를 처리한 뒤 프로그램 진행을 재구성합니다.
인텔 프로세서 추적기능은 브로드웰 세대에서 생겨, 스카이레이크 세대에서 확장되었습니다. 이 기능은 소프트웨어 가드 확장 명령어로 보호된 경우가 아니면 CPU에 실행되는 어떤 소프트웨어라도 추적할 수 있게 됩니다. 본래 이 기술은 성능 모니터링, 코드 진단, 디버깅, 퍼징, 멀웨어 진단 및 탐지를 위한 것입니다.
문제는 공격자가 이 기술을 악용해서 쓰레드의 코드 실행을 제어할 수 있다는 것입니다. 공격자가 CPU가 악성 코드를 실행하도록 분기시킬 수 있다고 합니다. 이 방법 중 하나는 인텔 프로세서 추적 기능의 패킷에 매우 작은 버퍼를 할당시켜, CPU의 버퍼 영역이 꽉 차게 되면 악성 코드로 점프해서 "훅"을 생성하게 된다는 것입니다.
문제 해결은 장기간이 될 것으로 보여
이 문제가 윈도우 OS를 실행하고 받치고 있는 하드웨어단의 문제이기 때문에, CyberArk사는 "MS에서 이를 탐지하고 해결하기는 매우 어려울 것"으로 보았다.
이하는 MS사가 CyberArk사에 답한 내용의 일부이다.
"엔지니어링 팀이 이 보고에 대한 분석을 끝냈고, 공격자가 시스템의 커널 코드까지 실행하고 있을 수 있다고 밝혀냈다. 따라서, 단순히 보안 업데이트 수준을 넘어 차후 버전의 윈도우에야 해결 될 수도 있을 것이다."
MS사도 단순한 업데이트로 이 문제를 해결할 수 없다고 한다. 따라서 이 문제의 해결은 차후 버전의 윈도우가 더 진보된 커널 보호 구조를 갖거나, 인텔이 이후 세대의 CPU에 대해 이와 같은 공격을 못 하도록 만들 때 까지 늦어질 것으로 보인다. 그 때까지 윈도우 10은 윈도우 디펜더 등의 보호를 뚫고 들어올, 혹은 들어왔을 멀웨어와 이를 통한 루트킷 등에 취약할 것으로 보인다.
고스트훅이 인텔 프로세서의 기능이 악용된 첫 경우는 아니다. 연구자들은 또한 인텔의 ME(매니지먼트 엔진) 프로세서나 AMT(액티브 관리 기술)이 멀웨어 설치에 이용될 수 있다는 것을 얼마전에 밝혀냈었다.
(위 내용은 다음 링크를 참조하세요. http://www.tomshardware.com/news/intel-amt-vulnerability-me-dangerous,34300.html )
=================================================================
한마디로 라이젠이나 혹은 브로드웰이전 세대의 cpu사용하는 것이 보안에 더 좋다고 합니다.
(IP보기클릭)219.124.***.***
이건 보급과는 무관. 인텔이 넣은 기술이 문제인것
(IP보기클릭)121.131.***.***
그거 찌라시임
(IP보기클릭)175.223.***.***
비유 존나 안와닿고 장황하네
(IP보기클릭)223.33.***.***
암빠가 아니라 그냥 암같은데요?
(IP보기클릭)175.223.***.***
??? : 여러분 인텔은 안정합니다 마음놓고 사전 예약하시길 바랍니다
(IP보기클릭)121.128.***.***
(IP보기클릭)221.133.***.***
짜증나 스카이레이크인디 ㅜㅜ | 17.06.24 20:04 | | |
(IP보기클릭)203.226.***.***
(IP보기클릭)49.161.***.***
인텔이 멀티코어지원을 수월하게 하기 위해 새로 넣은 기능이 원흉입니다. AMD는 현재 그 기능을 지원하는 프로세서가 없습니다 하이퍼스레딩 처음 넣을때도, 프로그램이 CPU코어 캐쉬 전체를 읽어들일수 있던 취약점이 있었죠 | 17.06.24 15:47 | | |
(IP보기클릭)182.222.***.***
리눅스도 동일한 이슈때문에 메모리 가드 사이즈를 늘리는 조치를 취했죠. 윈도우만 문제가 아니에요; | 17.06.24 18:24 | | |
(IP보기클릭)210.178.***.***
.
(IP보기클릭)223.33.***.***
(IP보기클릭)223.62.***.***
(IP보기클릭)219.124.***.***
트롤링타겟
이건 보급과는 무관. 인텔이 넣은 기술이 문제인것 | 17.06.24 13:47 | | |
(IP보기클릭)182.225.***.***
이게 뚫린게 웃긴 거 콘솔 생각하면 amd쪽 뚫는 게 더 이득일지도 모르죠 아무튼 뚫린건 인텔 ㅋ | 17.06.24 14:16 | | |
(IP보기클릭)119.201.***.***
개인적인 생각이맞네영 | 17.06.24 14:24 | | |
(IP보기클릭)183.104.***.***
글에 인텔시피유에 들어간 기술이 문제라고 적혀있는데 뭔 보급드립을치시나 | 17.06.24 14:42 | | |
(IP보기클릭)103.199.***.***
인텔이 만들어 넣은 기능에 취약점 존재 해결도 어려움 이거죠 | 17.06.24 15:46 | | |
(IP보기클릭)125.129.***.***
(IP보기클릭)121.131.***.***
플라스틱 수저
그거 찌라시임 | 17.06.24 13:53 | | |
(IP보기클릭)125.129.***.***
그럼 다행이네요.. | 17.06.24 13:56 | | |
(IP보기클릭)58.225.***.***
베타시절 코드유출인걸 다 털린것마냥 써재낀 찌라시라서 게시글자체가 삭제됐군요; | 17.06.24 14:20 | | |
(IP보기클릭)223.33.***.***
(IP보기클릭)218.55.***.***
윈도10의 취약점을 이용한다(x) 인텔cpu의 취약점을 이용한 해킹. 윈도는 방어가 어렵다.(o) cpu의 제어기능을 이용한 해킹이라서 구조적으로 방어가 어렵습니다. 윈도도 cpu에 의해 실행되는 프로그램이거든요. | 17.06.24 14:18 | | |
(IP보기클릭)218.55.***.***
최신 윈도의 보안기능을 인텔cpu를 이용해서 우회할 수 있다는 얘기죠. | 17.06.24 14:21 | | |
(IP보기클릭)223.33.***.***
북한 정보전사들이 이 글을 좋아합니다 | 17.06.24 14:40 | | |
(IP보기클릭)218.154.***.***
(IP보기클릭)110.70.***.***
리사ㅡ수! | 17.06.24 15:08 | | |
(IP보기클릭)218.157.***.***
(IP보기클릭)210.123.***.***
아아, 저도 샌드브릿지인데요.. | 17.06.24 14:30 | | |
(IP보기클릭)121.167.***.***
둘다 Y는 어따 버리고 샌드인가요. 샌디인데. | 17.06.24 15:59 | | |
(IP보기클릭)218.157.***.***
이빨 빠진 할배급 CPU 샌드 브릿지! 라지만 어차피 샌디나 샌드나 똑같은 모래란 뜻 아닌가.... | 17.06.24 16:05 | | |
(IP보기클릭)223.32.***.***
승리의 샌디브릿지 | 17.06.25 15:39 | | |
(IP보기클릭)220.120.***.***
(IP보기클릭)221.158.***.***
어리석고 수준 낮은 저능아의 믿음이 이리 무서운듯 이런 시비터는 암빠때문에 암드가 덩달아 욕 먹는거임 | 17.06.24 14:22 | | |
(IP보기클릭)223.33.***.***
테라맥
암빠가 아니라 그냥 암같은데요? | 17.06.24 14:25 | | |
(IP보기클릭)175.223.***.***
??? : 여러분 인텔은 안정합니다 마음놓고 사전 예약하시길 바랍니다
(IP보기클릭)175.112.***.***
(IP보기클릭)175.213.***.***
(IP보기클릭)220.120.***.***
(IP보기클릭)220.120.***.***
(IP보기클릭)220.120.***.***
(IP보기클릭)220.120.***.***
(IP보기클릭)211.36.***.***
바로 윗댓글도 못보면서 다 아는 사실로 남깔보지마세요 | 17.06.24 15:22 | | |
(IP보기클릭)14.33.***.***
(IP보기클릭)220.120.***.***
(IP보기클릭)1.238.***.***
(IP보기클릭)182.225.***.***
(IP보기클릭)175.223.***.***
Lime Leaf
비유 존나 안와닿고 장황하네 | 17.06.24 14:46 | | |
(IP보기클릭)103.199.***.***
난독이 아닌데도 어려웡 ㅜㅜ | 17.06.24 15:50 | | |
(IP보기클릭)182.224.***.***
ㅈㄴ 읽기싫게 적어놓으셨네 | 17.06.24 18:02 | | |
(IP보기클릭)221.141.***.***
그것보단 A란 사람이 가진 정보를 그 사람한테 협박/회유 혹은 속여서 알아가던것을 그냥 그 사람 두뇌의 전기신호를 탈취해간다고 보는게 좀더 낫지 않을까요? | 17.06.24 18:12 | | |
(IP보기클릭)211.46.***.***
걍 간단하게 접시위에 맛있는 케잌이 있는데 위를 개미꼬이지말라고 덮어놨더니 정작 접시에 구멍이있어서 접시로 개미꼬인다는거임 | 17.06.24 18:47 | | |
(IP보기클릭)121.146.***.***
(IP보기클릭)218.55.***.***
(IP보기클릭)175.203.***.***
(IP보기클릭)14.45.***.***
(IP보기클릭)14.45.***.***
어휴 여름에는 발열 적은 스카이레이크 사용했는데 어쩔수 없이 스카이 레이크 안쓰고 라이젠을 써야 하나... | 17.06.24 15:01 | | |
(IP보기클릭)14.52.***.***
네? 스카이레이크가 발열이 적다구요?? | 17.06.24 16:35 | | |
(IP보기클릭)221.159.***.***
(IP보기클릭)182.224.***.***
(IP보기클릭)14.52.***.***
라이젠+가 나와야지 클럭올라갈듯요... 3.7~3.8이 오버의 안정성이고 그 이상부터는 파워걱정도해야하니깐요.. | 17.06.24 16:20 | | |
(IP보기클릭)182.224.***.***
젠+는 내년에 나오나요? | 17.06.24 18:03 | | |
(IP보기클릭)14.52.***.***
그런걸로 알고있네요 젠2는 2018으로 알고있네요 | 17.06.24 18:04 | | |
(IP보기클릭)182.224.***.***
젠+도 젠2도 모두 내년에 나와요? | 17.06.24 18:31 | | |
(IP보기클릭)124.50.***.***
(IP보기클릭)125.142.***.***
(IP보기클릭)125.142.***.***
(IP보기클릭)14.52.***.***
(IP보기클릭)121.186.***.***
(IP보기클릭)14.52.***.***
(IP보기클릭)61.75.***.***
(IP보기클릭)119.149.***.***
(IP보기클릭)218.234.***.***
(IP보기클릭)111.171.***.***
(IP보기클릭)59.19.***.***
(IP보기클릭)175.124.***.***
(IP보기클릭)14.52.***.***
코어기반만 하즈웰이면 문제없습니다 명령어떄문에 일어난일이니깐요 | 17.06.24 18:05 | | |
(IP보기클릭)223.38.***.***
(IP보기클릭)14.52.***.***
860은 린필드인데요.. 하즈웰은 4000시리즈 입니다 | 17.06.24 18:12 | | |
(IP보기클릭)223.38.***.***
헐... 헷갈렸네요.... | 17.06.24 19:29 | | |
(IP보기클릭)210.120.***.***
흑흑흑. 제가 그렇게 업글을 안하고 있었단 반증입니다.. | 17.06.24 20:08 | | |
(IP보기클릭)58.225.***.***
사용자에게조차 잊혀진 린필드 ㅠㅠ | 17.06.24 20:45 | | |
(IP보기클릭)122.46.***.***
(IP보기클릭)124.49.***.***
(IP보기클릭)223.32.***.***
너 같은 사람들 쓰라고 있는 CPU 아닙니다. | 17.06.25 15:41 | | |
(IP보기클릭)124.49.***.***
집에 난방기 없는 사람이 쓰는게 AMD지 뭐 | 17.06.25 15:41 | | |
(IP보기클릭)126.74.***.***
.