Microsoft는 올해 6월 24일 Windows 11 발표로 인해 최근 뉴스에 등장했습니다. 하지만 그것이 사람들 사이에서 화제가 된 유일한 이유는 아닙니다. 최근에 공개된 멀웨어 정보와 함께 많은 업데이트를 릴리스한 것과 같은 몇 가지 다른 이유가 있습니다.
MSRC(Microsoft Security Response Center)는 중국에서 C2(명령 및 제어) 서버와 데이터를 교환하는 악성 루트킷 맬웨어가 포함된 드라이버를 수락했다고 인정했습니다. 특정 악의적인 행위자가 게임 환경을 대상으로 하도록 설계된 Netfilter 드라이버에 서명하도록 Redmond 거대 기업을 속인 것 같습니다. 드라이버는 플레이어의 지리적 위치를 숨기고 모든 지역에서 플레이하는 데 사용되었습니다.
이 멀웨어의 첫 번째 인스턴스는 독일 사이버 보안 회사 G Data의 멀웨어 분석가인 Karsten Hahn에 의해 식별되었습니다. ""Windows Vista 이후 커널 모드에서 실행되는 모든 코드는 운영 체제의 안정성을 보장하기 위해 공개 릴리스 전에 테스트 및 서명해야 합니다." 한이 말했다. "Microsoft 인증서가 없는 드라이버는 기본적으로 설치할 수 없습니다."라고 그는 계속했습니다.
이 맬웨어는 어떻게 작동합니까?
MSRC는 악의적인 의도를 가진 사람들이 이 맬웨어를 사용하여 다른 게이머를 악용하고 키로거를 사용하여 계정 자격 증명을 손상했다고 설명했습니다. 그들은 또한 직불/신용 카드 정보 및 이메일 주소를 포함한 다른 정보를 해킹할 수 있었습니다.
Netfilter가 사용자가 패킷 필터링을 활성화하고 네트워크 주소를 변환할 수 있게 해주는 합법적인 응용 프로그램 패키지라는 점은 흥미롭습니다. 또한 새 루트 인증서를 추가하고, 새 프록시 서버를 설정하고, 인터넷 설정을 수정하는 데 도움을 줄 수 있습니다.
사용자가 시스템에 이 애플리케이션을 설치하면 C2 서버에 연결하여 구성 정보 및 업데이트를 수신합니다. Microsoft는 또한 공격에 사용된 기술이 악용 후 발생한다고 설명했습니다. 이는 상대방이 먼저 관리자 권한을 얻은 다음 시스템 시작 중에 드라이버를 설치해야 함을 나타냅니다.
MSRC는 "위협 행위자가 광범위한 벡터에 걸쳐 환경에 액세스할 수 있는 새롭고 혁신적인 방법을 찾음에 따라 보안 환경은 계속 빠르게 진화하고 있습니다."라고 말했습니다.
Hahn은 악성 코드를 발견한 주요 인물이지만 나중에 Johann Aydinbas, Takahiro Haruyama, Florian Roth를 포함한 다른 악성 코드 연구자와 합류했습니다. 그는 Microsoft의 코드 서명 프로세스에 대해 우려했으며 Microsoft의 승인된 드라이버 세트에 숨겨진 다른 맬웨어가 있는지 의심했습니다.
악의적인 행위자의 작전 방식
Microsoft에 통보를 받은 후 사건을 조사하고 다시는 이러한 일이 발생하지 않도록 예방 조치를 취하는 데 필요한 모든 조치를 취하고 있습니다. Microsoft는 도난당한 코드 서명 인증서가 사용되었다는 증거가 없다고 밝혔습니다. 이 맬웨어의 배후에 있는 사람들은 Microsoft 서버에 드라이버를 제출하는 합법적인 프로세스를 따랐고 Microsoft 서명 바이너리도 합법적으로 획득했습니다.
Microsoft는 드라이버가 타사 개발자가 빌드했으며 Windows 하드웨어 호환성 프로그램을 통해 승인을 위해 제출했다고 밝혔습니다. 이 사건 이후 Microsoft는 이 드라이버를 제출한 계정을 일시 중지하고 해당 계정에서 제출한 모든 제출을 최우선 순위로 검토하기 시작했습니다.
또한 Microsoft는 파트너 액세스 정책과 검증 및 서명 프로세스를 개선하여 보호 기능을 더욱 강화할 것이라고 밝혔습니다.
Microsoft가 Rootkit Malware와 함께 로드된 Netfilter 드라이버에 로그인을 수락한다는 결론
Microsoft는 이 멀웨어가 중국의 게임 부문을 공격하기 위해 제작되었으며 소수의 개인만이 작업한 것으로 보입니다. 조직이나 기업을 멀웨어와 연결하는 연결이 없습니다. 그러나 그러한 오해의 소지가 있는 바이너리는 누구나 대규모 소프트웨어를 시작하는 데 이용될 수 있음을 이해해야 합니다.
공격. 과거에는 이란의 핵 프로그램을 공격한 Stuxnet 공격처럼 이러한 공격이 조장되었습니다. Realtek과 JMicron에서 코드 서명에 사용된 인증서를 도용했기 때문입니다.
Microsoft가 Windows 11 출시를 준비하고 있는 가운데 이 사건은 Microsoft가 운영 체제와 함께 제공하는 안전과 보안에 대해 의문을 제기합니다. 어떻게 생각해? 아래 의견 섹션에서 생각을 공유하십시오. Facebook, Instagram, YouTube와 같은 소셜 미디어에서 팔로우하세요.