MS의 디지털 서명이 도난 당했다. 공격자들은 그 서명으로 악성 드라이버들을 인증했다. 그래서 보안 도구들의 감시망에 걸리지 않게 되었다. 이미 지난 9월부터 공격이 시작됐고, 그 동안 공격자들은 이 악성 드라이버의 여러 활용법을 개발한 것으로 보인다.
[보안뉴스 문가용 기자] 마이크로소프트의 ‘윈도 하드웨어 개발자 프로그램(Windows Hardware Developer Program)’에서 서명한 악성 드라이버를 공격자들이 활용하고 있다는 경고가 MS로부터 나왔다. 랜섬웨어 공격자들도 이 악성 드라이버를 사용하고 있고, 공격 표적 네트워크에 설치된 보안 소프트웨어를 종료시키기 위한 툴킷을 개발하는 데에도 이 드라이버가 활용되고 있다고 한다.
[이미지 = utoimage]
“공격자들은 마이크로소프트 파트너 센터(Microsoft Partner Center)의 개발자 계정을 통해 마이크로소프트의 공식 디지털 서명을 획득한 것으로 조사됐습니다. 그리고 그 서명을 자신들의 악성 드라이버를 인증하는 데 사용했습니다. 9월 29일에 이러한 시도가 탐지됐고, 이러한 행위에 연루된 계정들은 10월 초에 이미 전부 차단됐습니다.” MS의 설명이다.
소프트웨어에 디지털 서명을 한다는 건 ‘이 소프트웨어는 믿을 수 있는 제품이다’라는 걸 인증한다는 뜻이고, OS들은 이 서명을 보고 해당 소프트웨어의 실행을 허용할지 말지를 결정한다. 그렇기 때문에 멀웨어나 불법 소프트웨어들이라고 하더라도 정상적인 서명만 갖추고 있으면 보안 검사에서 무사히 통과되고, 피해자는 아무런 경고도 받지 못한다. 정상적인 디지털 서명을 갖게 된 공격자는 피해자 네트워크에서 자유롭게 움직일 수도 있게 된다.
이번에 공개된 악성 드라이버들의 경우 랜섬웨어를 포함한 여러 가지 악성 행위에 동원됐을 가능성이 높다고 한다. 이러한 사실은 이미 지난 10월 보안 업체 맨디언트(Mandiant)와 센티넬원(SentinelOne), 소포스(Sophos)가 MS에 공동으로 제보했었다. 그리고 MS가 자사 서명이 도용된 것을 인정하는 발표를 하자, 각사의 블로그를 통해 해당 사건에 대한 상세 내용을 공개했다.
블로그의 내용을 종합하면 MS의 공식 서명이 들어간 악성 드라이버들은 UNC3944라는 이름이 붙은 해킹 단체가 이미 활발하게 사용하고 있다고 한다. UNC3944는 통신, 업무 처리 아웃소싱(BPO), 보안 관리 서비스 대행(MSSP), 금융 서비스 산업의 기업들을 공략하는 데 이 악성 드라이버들을 활용했으며, 다양한 피해 사례들이 이미 야기되었다고 한다. 참고로 UNC3944는 5월부터 발견된 해킹 단체로 금전적인 목적을 달성하기 위해 움직이는 것으로 분석됐다.
맨디언트의 블로그 게시글에 의하면 “공격자들은 최초 침투 이후에 MS의 서명이 들어간 악성 드라이버를 주로 활용했다”고 하며 “크리덴셜을 훔치거나 심스와핑 공격에 필요한 시스템에 접근하기 위해 움직였다”고 한다. “또 다른 피해자들을 노리는 별도의 공격을 진행하기 위한 준비 작업으로서 이런 일들을 먼저 진행한 것으로 추정됩니다.”
공격자들은 MS가 서명한 악성 드라이버들을 구체적으로 어떻게 활용했을까? “백신과 EDR 프로세스를 종료시키는 툴킷을 만드는 데 이 드라이버들을 활용했습니다. 툴킷은 크게 두 가지 부분으로 구성되어 있는 것으로 분석했는데, 하나는 스톤스톱(Stonestop)이라는 윈도 유틸리티이며 다른 하나는 푸어트라이(Poortry)라는 악성 윈도 드라이버입니다. 전자는 악성 드라이버인 후자를 로딩해서 기존 프로세스들을 전부 종료시키는 기능을 담당합니다.” 이 과정 중에 보안 관련 프로세스들도 사라진다.
UNC3944 말고도 MS의 서명이 들어간 악성 드라이버를 사용하는 사례가 있다고 센티넬원은 밝혔다. “이 공격자들은 악성 드라이버를 사용해 한 의료 업체에 하이브(Hive) 랜섬웨어를 풀었습니다. 악성 드라이버의 사용처가 생각보다 풍부한 것으로 추정됩니다.” 쿠바(Cuba)라는 랜섬웨어 공격자들도 이런 식의 공격을 하고 있다는 사실이 최근 여러 외신들에 의해 보도된 바 있다.
사건이 점점 커지자 MS는 긴급히 보안 업데이트를 진행해 문제가 되는 인증서를 취소했다. 또한 마이크로소프트 디펜더(Microsoft Defender) 1.377.987.0 및 후속 버전에 이번 사건과 관련된 인증서 및 악성 드라이버를 차단하는 기능을 추가하기도 했다.
3줄 요약
1. MS의 정식 디지털 서명을 공격자들이 멋대로 사용하고 있었음.
2. 그런 방식으로 악성 드라이버가 여럿 만들어지고, 이 드라이버로 여러 악성 행위가 가능하게 됨.
3. 현재 해당 서명 및 인증서, 관련된 계정들은 폐기된 상태.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 마이크로소프트의 ‘윈도 하드웨어 개발자 프로그램(Windows Hardware Developer Program)’에서 서명한 악성 드라이버를 공격자들이 활용하고 있다는 경고가 MS로부터 나왔다. 랜섬웨어 공격자들도 이 악성 드라이버를 사용하고 있고, 공격 표적 네트워크에 설치된 보안 소프트웨어를 종료시키기 위한 툴킷을 개발하는 데에도 이 드라이버가 활용되고 있다고 한다.
[이미지 = utoimage]
“공격자들은 마이크로소프트 파트너 센터(Microsoft Partner Center)의 개발자 계정을 통해 마이크로소프트의 공식 디지털 서명을 획득한 것으로 조사됐습니다. 그리고 그 서명을 자신들의 악성 드라이버를 인증하는 데 사용했습니다. 9월 29일에 이러한 시도가 탐지됐고, 이러한 행위에 연루된 계정들은 10월 초에 이미 전부 차단됐습니다.” MS의 설명이다.
소프트웨어에 디지털 서명을 한다는 건 ‘이 소프트웨어는 믿을 수 있는 제품이다’라는 걸 인증한다는 뜻이고, OS들은 이 서명을 보고 해당 소프트웨어의 실행을 허용할지 말지를 결정한다. 그렇기 때문에 멀웨어나 불법 소프트웨어들이라고 하더라도 정상적인 서명만 갖추고 있으면 보안 검사에서 무사히 통과되고, 피해자는 아무런 경고도 받지 못한다. 정상적인 디지털 서명을 갖게 된 공격자는 피해자 네트워크에서 자유롭게 움직일 수도 있게 된다.
이번에 공개된 악성 드라이버들의 경우 랜섬웨어를 포함한 여러 가지 악성 행위에 동원됐을 가능성이 높다고 한다. 이러한 사실은 이미 지난 10월 보안 업체 맨디언트(Mandiant)와 센티넬원(SentinelOne), 소포스(Sophos)가 MS에 공동으로 제보했었다. 그리고 MS가 자사 서명이 도용된 것을 인정하는 발표를 하자, 각사의 블로그를 통해 해당 사건에 대한 상세 내용을 공개했다.
블로그의 내용을 종합하면 MS의 공식 서명이 들어간 악성 드라이버들은 UNC3944라는 이름이 붙은 해킹 단체가 이미 활발하게 사용하고 있다고 한다. UNC3944는 통신, 업무 처리 아웃소싱(BPO), 보안 관리 서비스 대행(MSSP), 금융 서비스 산업의 기업들을 공략하는 데 이 악성 드라이버들을 활용했으며, 다양한 피해 사례들이 이미 야기되었다고 한다. 참고로 UNC3944는 5월부터 발견된 해킹 단체로 금전적인 목적을 달성하기 위해 움직이는 것으로 분석됐다.
맨디언트의 블로그 게시글에 의하면 “공격자들은 최초 침투 이후에 MS의 서명이 들어간 악성 드라이버를 주로 활용했다”고 하며 “크리덴셜을 훔치거나 심스와핑 공격에 필요한 시스템에 접근하기 위해 움직였다”고 한다. “또 다른 피해자들을 노리는 별도의 공격을 진행하기 위한 준비 작업으로서 이런 일들을 먼저 진행한 것으로 추정됩니다.”
공격자들은 MS가 서명한 악성 드라이버들을 구체적으로 어떻게 활용했을까? “백신과 EDR 프로세스를 종료시키는 툴킷을 만드는 데 이 드라이버들을 활용했습니다. 툴킷은 크게 두 가지 부분으로 구성되어 있는 것으로 분석했는데, 하나는 스톤스톱(Stonestop)이라는 윈도 유틸리티이며 다른 하나는 푸어트라이(Poortry)라는 악성 윈도 드라이버입니다. 전자는 악성 드라이버인 후자를 로딩해서 기존 프로세스들을 전부 종료시키는 기능을 담당합니다.” 이 과정 중에 보안 관련 프로세스들도 사라진다.
UNC3944 말고도 MS의 서명이 들어간 악성 드라이버를 사용하는 사례가 있다고 센티넬원은 밝혔다. “이 공격자들은 악성 드라이버를 사용해 한 의료 업체에 하이브(Hive) 랜섬웨어를 풀었습니다. 악성 드라이버의 사용처가 생각보다 풍부한 것으로 추정됩니다.” 쿠바(Cuba)라는 랜섬웨어 공격자들도 이런 식의 공격을 하고 있다는 사실이 최근 여러 외신들에 의해 보도된 바 있다.
사건이 점점 커지자 MS는 긴급히 보안 업데이트를 진행해 문제가 되는 인증서를 취소했다. 또한 마이크로소프트 디펜더(Microsoft Defender) 1.377.987.0 및 후속 버전에 이번 사건과 관련된 인증서 및 악성 드라이버를 차단하는 기능을 추가하기도 했다.
3줄 요약
1. MS의 정식 디지털 서명을 공격자들이 멋대로 사용하고 있었음.
2. 그런 방식으로 악성 드라이버가 여럿 만들어지고, 이 드라이버로 여러 악성 행위가 가능하게 됨.
3. 현재 해당 서명 및 인증서, 관련된 계정들은 폐기된 상태.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
