마이크로소프트, 악성 Netfilter 루트킷 드라이버에 서명해

 

 

Hackers Trick Microsoft Into Signing Netfilter Driver Loaded With Rootkit Malware

 

지난 금요일, 마이크로소프트가 자사에서 서명한 드라이버가 악성 윈도우 루트킷으로 확인 된 사고를 조사 중이라 밝혔습니다. 해당 루트킷은 중국에 위치한 C2 서버와 통신 중이었습니다.

 

“Netfilter”라 명명된 해당 드라이버는 동아시아 국가의 게임 환경을 주로 노리는 것으로 알려져 있습니다. 마이크로소프트는 “공격자의 목표는 드라이버를 통해 그들의 지리적 위치에 스푸핑해 시스템을 속여 어느 위치에서든 플레이하는 것”이라 밝혔습니다.

 

마이크로소프트의 보안 대응 센터(MSRC)는 이에 대해 아래와 같이 밝혔습니다.

 

“공격자는 이 악성코드를 통해 게임 내에서 이득을 얻고, 키로거와 같은 툴을 이용하여 다른 플레이어의 계정을 해킹하는 것도 가능합니다.”

 

독일의 사이버 보안 회사인 G Data의 악성코드 분석가인 Karsten Hahn은 이 악성코드 서명을 발견해 시스템에 Netfilter를 배포하는데 사용된 드롭퍼를 포함한 루트킷 관련 추가 정보를 공개했습니다.

 

 

<이미지 출처 : https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit>

 

 

이 드라이버가 성공적으로 설치되면, 구성 정보를 받아오기 위해 C2 서버로의 연결을 설정하는 것으로 나타났습니다. C2 서버는 IP 리디렉션을 포함한 여러 기능을 제공하며, 루트 인증서를 받고 악성코드를 자체적으로 업데이트하는 것도 가능합니다.

 

 

<이미지 출처 : https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit>

 

 

연구원은 Netfilter의 가장 오래된 샘플은 VirusTotal에서 2021년 3월 17일 발견되었다고 밝혔습니다.

 

마이크로소프트는 공격자가 인증을 위해 해당 드라이버를 WHCP(Windows Hardware Compatibility Program)에 등록했으며, 드라이버는 타사에서 제작된 것이라 밝혔습니다. 회사는 해당 계정을 중지시키고, 계정이 등록한 내용에 추가 악성코드가 있는지 확인 중이라 밝혔습니다.

 

또한 마이크로소프트는 이 공격에 사용한 기술이 ‘악용 후 공격(post-exploitation)’을 발생시킬 수 있기 때문에 공격자가 시스템 시작 시 드라이버를 설치하거나, 사용자가 이를 대신 수행하도록 속이기 위해서는 미리 관리자 권한을 얻어야 한다고 밝혔습니다.

 

마이크로소프트는 또한 보호 기능을 더욱 강화하기 위해 파트너 액세스 정책과 유효성 검사 및 서명 프로세스를 개선 할 계획이라고 밝혔습니다.

 

 

 

 

 

출처:

https://thehackernews.com/2021/06/hackers-trick-microsoft-into-signing.html

https://msrc-blog.microsoft.com/2021/06/25/investigating-and-mitigating-malicious-drivers/

https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit