악성코드, 훔친 NVIDIA 코드 서명 인증서 사용해

Malware now using NVIDIA's stolen code signing certificates

 

공격자들이 훔친 NVIDIA 코드 서명 인증서로 악성코드에 서명해 해당 코드를 신뢰할 수 있는 것처럼 위장하고 악성 드라이버를 윈도우에 로드하는 것으로 나타났습니다.

 

이번 주, NVIDIA는 사이버 공격을 받아 직원의 크리덴셜과 독점 데이터가 도난 당했을 가능성이 있다고 밝혔습니다.

 

Lapsus$로 알려진 공격 그룹은 공격을 통해 데이터 1TB 상당을 훔쳤고, NVIDIA가 협상을 거절하자 온라인에 데이터를 공개하기 시작했다고 밝혔습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/>

<NVIDIA 공격에 대한 Lapsus$의 메시지>

 

 

해당 사고에서 NVIDIA 개발자가 드라이버와 실행 파일에 서명하는 데 사용한 코드 서명 인증서 2개 유출되었습니다.

 

 

&lt;이미지 출처: https://twitter.com/BillDemirkapi/status/1499437244830175236&gt;

 

 

코드 서명 인증서를 사용할 경우 개발자가 실행 파일과 드라이버에 디지털 서명을 할 수 있기 때문에, 윈도우 및 최종 사용자가 해당 파일 소유자와 파일이 제3자에 의해 변조되었는지 여부를 확인할 수 있습니다.

 

마이크로소프트는 윈도우의 보안을 강화하기 위해 운영 체제에서 로드하기 전에 커널 모드 드라이버에 코드 서명을 요구합니다.

 

NVIDIA 인증서, 악성코드 서명에 사용돼

 

Lapsus$가 NVIDIA의 코드 서명 인증서를 유출한 후 얼마 지나지 않아, 보안 연구원들은 해당 인증서가 공격자가 사용하는 악성코드 및 기타 툴을 서명하는 데 사용되고 있다는 것을 발견했습니다.

 

VirusTotal 악성코드 검사 서비스에 업로드된 샘플에 따르면 도난당한 인증서는 Cobalt Strike 비콘, Mimikatz, 백도어, 원격 액세스 트로이 목마와 같은 다양한 악성코드 및 해킹 도구를 서명하는 데 사용되었습니다.

 

예를 들어, 한 공격자는 인증서를 사용하여 Quasar 원격 액세스 트로이 목마[VirusTotal]에 서명했고, 다른 공격자는 윈도우 드라이버[VirusTotal]에 서명했습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/>

<NVIDIA 인증서로 서명된 Quasar RAT>

 

 

보안 연구원인 Kevin Beaumont와 Will Dormann은 도난당한 인증서가 아래 시리얼 번호를 사용한다고 밝혔습니다.

 

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

 

도난당한 이 두 NVIDIA 인증서가 모두 만료될 때 까지, 윈도우는 해당 인증서로 서명된 드라이버가 운영 체제에 로드되도록 허용할 것입니다.

 

따라서 공격자는 훔친 인증서를 통해 자신의 프로그램을 합법적인 NVIDIA 프로그램으로 위장하고 윈도우에서 악성 드라이버를 로드할 수 있게 됩니다.

 

 

&lt; 이미지 출처 <https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/>

<서명된 Quasar RAT 샘플>

 

 

Microsoft의 엔터프라이즈 및 OS 보안 이사인 David Weston은 트위터를 통해 알려진 취약한 드라이버가 윈도우에 로드되는 것을 방지하기 위해 관리자가 윈도우 디펜더 애플리케이션의 제어 정책을 구성하여 어떤 NVIDIA 드라이버를 로드할지 제어할 수 있다고 밝혔습니다.

 

하지만 익숙하지 않은 윈도우 사용자가 WDAC를 사용하는 것은 결코 쉽지 않습니다.

 

도난당한 인증서가 마이크로소프트의 인증서 해지 목록에 추가될 경우 윈도우에서 악성 드라이버가 로드되는 것을 방지할 수 있습니다. 하지만 이러한 방식으로 문제를 해결할 경우 정식 NVIDIA 드라이버 또한 차단되기 때문에 문제가 쉽게 해결되지는 않을 것으로 보입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/

https://twitter.com/cyb3rops/status/1499514240008437762