Mac 또는 Windows를 대상으로 하는 맬웨어 공격에 대한 뉴스는 오늘날 인터넷 사용자에게 전혀 새로운 소식이 아닙니다. 설상가상으로 부트 바이러스, 악성 파일 첨부 및 매크로 바이러스와 같은 변종이 이미 각광을 받고 있습니다. 모든 것이 멀웨어에서 시작되고 끝난다고 생각한다면 오산입니다. 이것은 아직 오지 않을 일의 징조일 뿐입니다. 이것을 놀라운 종으로 생각하십시오.
CSRI(Cyber Security Research Institute)에서 수행한 최근 연구에 따르면 디지털 코드 서명 인증서가 얼마나 위험한지 밝혀졌습니다. Stuxnet 웜은 2005년 이란의 핵 농축 프로세스를 손상시키는 데 사용된 이러한 종류의 첫 번째 웜입니다. 최근 디지털 코드 서명 인증서 악용 사례는 CCleaner에 대한 공격입니다.
디지털 코드 서명 인증서:
디지털 인증서는 개인 또는 회사에 ID를 제공하는 ID 카드와 같습니다. 신뢰할 수 있는 인증 기관(CA)에서 발급합니다.
img src:SSL.org
인증 기관은 디지털 인증서를 발급하여 소유자의 신원과 권한을 승인합니다. 다른 식별 정보와 함께 공개 키가 개인 또는 회사에 발급된 각 디지털 인증서에 포함됩니다. 이러한 인증서는 암호화 방식으로 서명되어 데이터 무결성을 인증하고 사용을 검증합니다.
디지털 인증서가 있는 컴퓨터 응용 프로그램 또는 소프트웨어는 컴퓨터에서 신뢰하며 경고 메시지 없이 프로그램을 실행할 수 있습니다.
디지털 인증서는 어떤 위험에 처해 있습니까?
합법적으로 서명된 디지털 인증서는 최대 1,200$(인증서당)의 가격으로 Dark Web에서 판매됩니다. 해커는 이러한 인증서를 사용하여 악성 코드를 신뢰할 수 있는 소프트웨어 공급업체와 연결하여 맬웨어가 탐지될 위험을 줄입니다. 따라서 대상 네트워크와 사용자 시스템 보안을 쉽게 우회합니다.
걱정할 필요가 있나요?
메릴랜드 대학교, 칼리지 파크, 김두원, 권범준 및 Tudor Dumitras의 보안 연구원 팀은 디지털 서명된 멀웨어가 널리 퍼져 있음을 발견했습니다. 총 325개의 서명된 악성코드 샘플이 이미 발견되었습니다. 그 중 189개가 유효한 디지털 서명을 가지고 있습니다.
“이러한 형식의 서명은 공격자에게 유용합니다. 합법적인 샘플에서 서명되지 않은 멀웨어 샘플로 Authenticode 서명을 복사하기만 하면 멀웨어가 AV 탐지를 우회하는 데 도움이 될 수 있습니다.”라고 연구원이 말했습니다.
이 손상된 인증서 중 27개가 이미 취소되었지만 현재로서는 나머지 84개의 인증서가 취소될 때까지 시스템에서 여전히 신뢰하고 있습니다.
트리오(김두원, 권범준, 튜더 두미트라스의 김두원, 권범준, 튜더 듀미트라스)는 “많은 악성코드 패밀리(88.8%)가 단일 인증서에 의존하고 있어 악성 인증서는 대부분 제3자가 아닌 악성코드 작성자에 의해 통제되고 있음을 시사한다. 메릴랜드 대학교, 칼리지 파크).
Src:hackernews.com
연구원들은 인증서가 취소된 후에도 사이버 범죄자가 인증서 남용을 즉시 중단하지 않을 것임을 발견했습니다. 일부 백신 프로그램은 해지된 인증서에서 악성 프로그램을 인식하지 못하기 때문입니다. 즉, 악성 코드가 시스템에서 아무런 방해 없이 실행됩니다.
해커는 유효한 Microsoft 서명 Windows 시스템 파일이나 Microsoft Office 파일에 악성 코드를 쉽게 추가할 수 있습니다. 따라서 Microsoft에서 서명한 파일이 보안 프로그램의 화이트리스트에 추가되어 보안 응용 프로그램에서 숨깁니다. 이는 중요한 시스템 파일을 삭제하고 시스템 충돌을 일으킬 수 있는 오탐지를 방지하기 위해 수행됩니다.
보호 상태를 유지하려면 어떻게 해야 합니까?
- 항상 운영 체제와 브라우저를 최신 상태로 유지하십시오.
- 루트 인증서 영역에 새 CA를 추가하지 마십시오.
- 알 수 없는 개발자가 제공한 파일 다운로드를 차단합니다.
- 신뢰할 수 있는 인증서를 항상 추적합니다.
- 엔드포인트 보안 솔루션 설치
"디지털 서명된 멀웨어는 유효한 서명이 있는 프로그램만 설치하거나 실행하는 시스템 보호 메커니즘을 우회할 수 있습니다." 종이 를 읽습니다. "인증된 맬웨어:Windows 코드 서명 PKI의 신뢰 위반 측정."
이것은 실제로 심각한 문제입니다. 유효한 인증서에 액세스할 수 있는 해커는 아무 것도 안전하지 않다는 것을 의미합니다. 안티바이러스 프로그램으로서 시스템은 이러한 위협을 식별할 수 없습니다. 이제 안티바이러스 프로그램을 피하기가 쉽습니다.
signedmalware.org에서 공격자가 악용한 인증서 목록을 확인할 수 있습니다.