상세 컨텐츠

본문 제목

마이크로소프트 서명 인증을 악용하는 새로운 Zloader 뱅킹 악성코드 캠페인 발견

국내외 보안동향

by 알약4 2022. 1. 6. 14:00

본문

 

New Zloader Banking Malware Campaign Exploiting Microsoft Signature Verification

 

현재 진행 중인 ZLoader 악성코드 캠페인이 원격 모니터링 도구 및 악용하고 사용자 크리덴셜 및 민감 정보를 빼내기 위해 9년된 마이크로소프트의 디지털 서명 확인 취약점을 악용하는 것으로 나타났습니다.

 

2021 11월부터 이 감염 체인을 추적해 온 이스라엘의 사이버 보안 회사인 Check Point Research는 이전 공격과의 유사성을 들며 Malsmoke라는 사이버 범죄 그룹이 이 공격의 배후에 있을 것이라 밝혔습니다.

 

Check Point Golan Cohen The Hacker News와 공유한 보고서에서 아래와 같이 밝혔습니다.

 

"감염 체인에는 합법적인 원격 관리 소프트웨어(RMM)를 사용하여 타깃 시스템에 대한 초기 액세스 권한을 얻는 것이 포함됩니다."

 

"이후 악성코드는 마이크로소프트의 디지털 서명 인증 방식을 악용하여 페이로드를 서명된 시스템 DLL에 삽입하여 시스템 방어를 추가로 회피합니다."

 

이 캠페인은 2022 1 2일 기준 111개국에서 2,170명의 희생자를 발생시킨 것으로 알려져 있으며 대부분의 피해자는 미국, 캐나다, 인도, 인도네시아, 호주에 위치합니다. 이들은 발견 및 분석을 피하기 위해 난독화 및 여러겹의 기타 탐지 회피 방법을 사용합니다.

 

공격은 Atera라는 합법적인 기업용 원격 모니터링 소프트웨어를 설치하는 것으로 시작되며, 이를 사용하여 임의의 파일을 업로드 및 다운로드하고 악성 스크립트를 실행합니다. 그러나 설치 프로그램 파일을 배포하는 정확한 모드는 아직 알려지지 않았습니다.

 

 

<이미지 출처: https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/>

 

파일 중 하나는 Windows Defender에 제외를 추가하는 데 사용되며, 두 번째 파일은 ZLoader 바이너리("9092.dll")를 실행하는 데 사용되는 "appContast.dll"이라는 DLL 파일을 포함하여 다음 단계 페이로드를 받아와 실행합니다.

 

 

<이미지 출처: https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/>

 

 

여기서 눈에 띄는 점은 appContast.dll이 마이크로소프트에서 유효한 서명을 사용했을 뿐만 아니라 원래 앱 해석기 모듈("AppResolver.dll")이었던 파일이 조정되어 로드할 악성 스크립트가 삽입되었다는 것입니다.

 

이는 WinVerifyTrust 서명 유효성 검사 취약점인 CVE-2013-3900으로 등록된 알려진 문제를 악용하여 가능합니다. 이 취약점은 원격 공격자가 파일 서명의 유효성을 유지하면서 악성코드 조각을 추가하여 특수하게 조작된 이식 가능한 실행 파일을 통해 임의의 코드를 실행할 수 있도록 합니다.

 

마이크로소프트는 2013년에 이 버그를 해결했지만, 회사는 2014 7월 계획을 수정하여 더 이상 "지원되는 마이크로소프트 윈도우 버전에서 더 엄격한 확인 동작을 기본 기능으로 시행"하지 않고 이를 옵트인 기능으로 사용할 수 있게 했습니다.

 

Cohen은 ", 이 수정 프로그램은 기본적으로 비활성화되어 있어 악성코드 작성자가 서명된 파일을 수정할 수 있다"고 밝혔습니다.

 

악성코드 연구원인 Kobi Eisenkraft "ZLoader 캠페인 공격자는 방어 회피에 많은 노력을 기울인 것으로 보이며, 여전히 매주 방법을 업데이트하고 있는 것 같다"고 밝혔습니다.

 

또한 사용자들에 알 수 없는 소스로부터 소프트웨어 설치하는 것을 자제하고 실행 파일에 대해 마이크로소프트의 엄격한 윈도우 인증 서명 확인을 적용할 것을 권장했습니다.

 

 

 

 

출처:

https://thehackernews.com/2022/01/new-zloader-banking-malware-campaign.html

https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/

관련글 더보기

댓글 영역