Wraith

개요

HydraRAT이 "백신으로 제거 불가능"이었다면, Wraith는 "포맷으로도 제거 불가능"입니다.

Wraith는 OS 아래에 존재합니다. 하드디스크의 MBR(Master Boot Record)과 시스템 BIOS의 여유 공간에 자신을 기록합니다. Windows를 재설치해도, 하드디스크를 포맷해도, 심지어 다른 OS를 설치해도 — Wraith는 OS가 부팅되기 전에 먼저 실행되어 자신을 다시 복원합니다.

이 개념은 2007년에 발견된 Mebromi(세계 최초 BIOS 루트킷)와 2011년의 Stuxnet MBR 모듈이 사용한 것과 동일합니다. Wraith는 그것을 7년 앞서 구현했습니다.

왜 Wraith는 불멸인가

컴퓨터 부팅 과정의 이해

컴퓨터가 켜지면 다음 순서로 실행됩니다:

1. BIOS — 하드웨어 초기화
2. MBR — 하드디스크 첫 섹터, 부트로더 실행
3. 부트로더 — OS 커널 로드
4. OS 커널 — Windows/Linux 시작
5. 서비스/프로그램 — 백신 등 실행

일반 악성코드는 5단계에 존재합니다. HydraRAT은 4단계(커널)까지 내려갔습니다. Wraith는 1~2단계에 존재합니다. OS가 시작되기도 전에, 백신이 로드되기도 전에, Wraith는 이미 실행을 마치고 자신을 은닉한 상태입니다.

MBR 감염

하드디스크의 첫 번째 섹터(MBR)를 Wraith의 커스텀 부트로더로 교체합니다. 원본 MBR은 다른 위치에 백업됩니다. 시스템이 부팅되면:

1. Wraith 부트로더가 먼저 실행
2. 메모리에 Wraith 코어를 로드하고 인터럽트 후킹
3. 원본 MBR을 실행하여 정상 부팅 진행
4. OS가 로드되면 커널에 Wraith 드라이버를 주입

포맷은 MBR을 건드리지 않습니다. 파티션을 삭제하고 다시 만들어도, MBR의 Wraith 코드는 그대로 남아있습니다.

BIOS 감염

가장 충격적인 기능입니다. Wraith는 시스템 BIOS의 여유 공간(unused area)에 자신의 코드를 기록합니다. BIOS는 하드디스크와 무관한 메인보드의 칩에 존재합니다.

• 하드디스크를 통째로 교체해도 Wraith는 살아있습니다
• 새 하드디스크에 새 OS를 설치하면, BIOS의 Wraith가 부팅 과정에 개입하여 새 OS에 자신을 재감염시킵니다
• 제거하려면 BIOS를 원본 펌웨어로 다시 플래싱해야 합니다 — 일반 사용자는 방법조차 모릅니다

다른 도구와의 연동

Wraith 자체는 지속성만 담당합니다. 실제 악성 행위는 Wraith가 보호하는 페이로드가 수행합니다:

• GhostRAT을 페이로드로 설치하면 → 포맷해도 재감염되는 RAT
• ShadowNet을 페이로드로 설치하면 → 영원히 죽지 않는 좀비
• IronShield Bypass와 결합하면 → 부팅 시 백신보다 먼저 실행되어 백신 무력화

제거 가능성 분석

파급력

Wraith의 존재가 알려지자 보안 업계는 공포에 가까운 반응을 보였습니다:

"포맷으로 해결되지 않는 악성코드라니. 사용자에게 '컴퓨터를 버리세요'라고 말해야 하는 건가."
— 당시 보안 업체 분석가

이후 BIOS 보안, Secure Boot, UEFI 등의 부트 프로세스 보안 기술 연구가 촉진되는 간접적 계기가 되었습니다.

배포 중지

기술 사양