포스팅 내용

국내외 보안동향

도난 된 D-Link 인증서, 스파잉 악성코드에 디지털 서명하는데 사용 돼

Stolen D-Link Certificate Used to Digitally Sign Spying Malware


<이미지 출처 : https://thehackernews.com/2018/07/digital-certificate-malware.html>

악의적인 의도를 숨기기 위해 디지털 서명 된 악성코드는 최근 몇 년 동안 더욱 흔해지고 있습니다.


보안 연구원들이 D-Link를 포함한 대만의 기술 회사들로부터 훔친 유효한 디지털 인증서를 악용하는 새로운 악성코드 캠페인을 발견했습니다. 이들은 자신의 악성코드를 훔친 인증서로 서명해 합법적인 소프트웨어로 보이도록 했습니다.


신뢰할 수 있는 인증 기관(CA)에서 발행 된 디지털 인증서는 컴퓨터 프로그램 및 소프트웨어를 암호학적으로 서명해 사용자 컴퓨터에서 실행 되었을 때 경고 메시지를 표시하지 않고도 신뢰하고 실행될 수 있도록 합니다.


하지만, 악성코드 제작자와 해커들은 보안 솔루션들을 우회하기 위해 최근 몇 년 동안 신뢰할 수 있는 디지털 서명들을 악용해온 것으로 드러났습니다.


해커들은 신뢰할 수 있는 소프트웨어 회사들의 코드 서명 인증서를 손상시켜 그들의 악성코드를 서명하고, 타겟 기업 네트워크와 사용자의 기기들에서 악성코드가 탐지 될 가능성을 낮췄습니다.


보안 연구원들이 발견한 2개의 악성코드 패밀리는 예전에 사이버 간첩 그룹인 BlackTech와 관련이 있었으며, 이들은 네트워크 장비 제조업체인 D-Link와 대만의 보안 회사인 Changing Information Technology의 유효한 디지털 인증서를 이용했습니다.


첫 번째 악성코드는 Plead로 명명 되었으며, 이는 기밀 문서를 훔치고 사용자를 스파잉하도록 설계 된 원격 제어 백도어입니다.


두 번째 악성코드는 구글 크롬, 마이크로소프트 인터넷 익스플로러, 마이크로소프트 아웃룩, 모질라 파이어폭스의 저장 된 패스워드를 수집하도록 설계 된 패스워드스틸러입니다.


연구원들은 D-Link와 Changing Information Technology에 이 문제에 대해 제보했으며, 이들은 2018년 7월 3일, 4일에 이 인증서를 폐지했습니다.


회사가 인증서를 폐지했더라도, 대부분의 안티바이러스 소프트웨어는 인증서의 유효성을 검증하는데 실패하는 경우가 많기 때문에 BlackTech의 해커들은 아직까지도 동일한 인증서를 이용해 악성툴을 서명하고 있습니다.


연구원들은 “여러 대만 기술 회사들을 해킹해 공격에 그들의 코드 서명 인증서를 재사용하는 것으로 보아, 이 그룹은 매우 숙련 되었으며 해당 지역에 집중하고 있는 것으로 보여집니다.


해커들이 유효한 인증서로 악성코드에 서명하는 것은 처음이 아닙니다. 2003년 이란의 핵시설을 공격한 악명높은 stuxnet 웜도 유효한 인증서로 서명 되었습니다.


또한 2017년 CCleaner 해킹 사건때 해커들이 오리지널 CCleaner 소프트웨어를 변조 된 것으로 대체할 수 있었던 것도 디지털 서명 된 소프트웨어 업데이트 덕분이었습니다.




출처 : 

https://thehackernews.com/2018/07/digital-certificate-malware.html



티스토리 방명록 작성
name password homepage