| 요약 | - 최근 루트킷 도구들이 적극 개발되어 공격자들이 OS를 다양한 방법으로 공략이 가능해짐 - 최근 일부 공격자들이 악성 커널 드라이버들을 서명하는 방법을 개발하여 윈도 기반 시스템들에 다양한 방법으로 위협을 가할 수 있게 됨 |
| 내용 | - 공격자들이 정상 인증서를 어떻게 해서든 취득한 후 인증서를 이용해 커널 드라이버를 서명 > 대부분의 방어 솔루션들을 무력화시킬 수 있으며, 기본적인 소프트웨어 무결성 확인 장치를 근간에서부터 흔들어놓는 것 > 일종의 공급망 공격이라고도 볼 수 있음 ※ iOS와 맥OS 생태계에서도 비슷한 시도가 있었지만 성공률이 그렇게 높지는 않음 - 트렌드마이크로의 조사 결과 > 중국의 해킹 단체들이 파이브시스(FiveSys)라는 루트킷의 배후에 있음 > 루트킷를 활용했을 때 공격자들은 코드 서명을 자유자재로 할 수 있었던 것으로 밝혀짐 > 공격자들이 빼앗아가거나 도용하고 있는 인증서와 서명은 아직도 유효한 것이 대부분 - 서명과 인증서를 훔쳐서 멀웨어 공격에 활용하는 사례는 꾸준히 존재 > 21.10 마이크로소프트의 서명을 활용하는 루트킷 파이브시스를 발견 > 윈도 시큐어 부트(Windows Secure Boot)를 우회하는 루트킷 블랙로터스(BlackLotus) 등장 ※ 부팅 층위에까지 영향력을 미치는 루트킷을 부트킷(bootkit)라고도 불림 - 현재까지 확인됫 루트킷은 게임 업계에서 주로 나타나는 중 > 주로 게임 서버를 공략하는데 활용(블랙로터스, BlackLotus)되거나 게임들의 보안장치들을 우회하기 위해 활용(넷필터, NetFilter) > 공격자들이 게임 업계를 노리는 이유는 그 만큼 취할 수 있는 이득이 높다는 뜻 |
| 기타 | - 루트킷이나 부트킷는 악성 행위를 쉽게 만들어주는 도구 > 판매자들이 다크웹에서 적극 홍보하기 때문에 쉽게 구할 수 있으며 돈만 주면 구할 수 있음 - 루트킷을 잡아내려면 성능 좋은 EDR 소프트웨어(행동 기반 탐지)를 갖춰야 할 필요가 있음을 강조 |
보안뉴스
사이버 생태계를 더 위험하게 만드는 골칫거리, 룻키트
최근 일부 공격자들이 악성 커널 드라이버들을 서명하는 방법을 개발했고, 이 덕분에 윈도 기반 시스템들에 다양한 방법으로 위협을 가할 수 있게 됐다. 보안 업체 트렌드마이크로(Trend Micro)의
www.boannews.com
Hunting for A New Stealthy Universal Rootkit Loader
Malicious actors currently use different approaches to sign their malicious kernel drivers, typically by: In this blog entry, we will shed some light on a threat that apparently followed the first approach: abusing WHQL to have a valid signature on a mal
www.trendmicro.com
'보안뉴스' 카테고리의 다른 글
| TLS 인증서의 유효 기간 줄인다는 구글, 어떻게 대처해야 할까? (0) | 2023.09.08 |
|---|---|
| 야심차게 준비한 크롬 웹스토어의 안전 장치, 잠깐의 실험만으로 뚫렸다 (0) | 2023.09.08 |
| USB 활용한 사이버 공격, 아직 알 수 없는 이유로 급증하고 있어 (0) | 2023.07.19 |
| 개인정보·답안지 유출 등 말 많고 탈 많은 ‘4세대 나이스’... 교육계 일대 ‘혼란’ (0) | 2023.06.27 |
| 어느 새 다크웹의 인기 아이템이 된 챗GPT 크리덴셜, 정보 탈취 멀웨어가 문제 (0) | 2023.06.22 |