포스팅 내용

국내외 보안동향

Dell의 랩탑, ‘Superfish’와 비슷한 선 탑재 멀웨어에 감염

Dell's Laptops are Infected with 'Superfish-Like' pre-installed Malware

Dell의 랩탑, ‘Superfish’와 비슷한 선탑재 멀웨어에 감염


지난 2월 레노보 랩탑에서 발생한 ‘Superfish’와 유사하게, 멀웨어가 Dell이 판매하는 PC 및 랩탑에 악성 SSL 인증서가 선탑재 된 것으로 나타났습니다. 


레노보 Superfish란?


지난 포스팅 참고 ▶ http://blog.alyac.co.kr/258



이를 이용하면 공격자들은 HTTPS로 보호 된 어떤 웹사이트로도 가장할 수 있으며, 인터넷 뱅킹이나 온라인 쇼핑 시 스파잉을 할 수 있게 됩니다.

eDellRoot라 명명 된 이 악성 인증서는, 지난 주말 소프트웨어 프로그래머인 Joe Nord가 발견하였습니다. 오싹한 점은, 이 인증서는 윈도우 OS에서 삭제 되었을 경우에도 자동으로 자신을 재 설치한다는 점입니다.


이 자체 서명 된 TLS 크리덴셜은 루트 인증서로써, 로컬에 저장 된 동일한 private 암호화키를 사용하여 서명 된 Dell의 PC와 랩탑에 선탑재됩니다.


이는 중급 정도의 공격자가 HTTPS로 보호 된 모든 사이트를 위한 위조 된 TLS 인증서를 서명하기 위해 이 키를 추출해 내어 악용할 수 있는 수준이라고 할 수 있습니다. 이에 유저는 모든 SSL 공격에 노출 되게 됩니다.

이 인증서키는 Dell 컴퓨터 유저에게 MITM(Man in the Middle :중간자) 공격을 실시하는데 사용될 수 있어, Dell 기기가 악성 와이파이 핫스팟에 연결되었을 경우 계정, 패스워드, 세션쿠키 및 다른 민감 정보를 훔칠 수 있게 됩니다.


이 문제는 지난 2월 레노보가 브라우저에 써드파티 광고를 주입하기 위해 자체 서명 된 인증서와 함께 악성 애드웨어 프로그램인 ‘Superfish’를 선 탑재 해 논란이 된 적이 있습니다.

Dell의 경우에는 이 인증서가 광고 주입에 쓰인다는 증거는 없지만, 결과적으로 발생하는 보안 이슈는 동일하다고 볼 수 있습니다.


영향을 받는 PC 및 랩탑 모델은 아래와 같습니다.


Dell Inspiron 5000 series notebook

Dell XPS 15

Dell XPS 13


이는 현재 판매 중인 상당한 숫자의 Dell 데스크탑 및 랩탑, 특히 최신 Dell Inspiron Desktop, XPS, Precision M4800, Latitude 모델 들에 위험한 인증서가 탑재 되어 있다고 볼 수 있습니다.


eDellRoot를 발견 후 ‘제거’버튼을 누르면 삭제 되는 것처럼 보이지만, 컴퓨터를 재부팅하고 certmgr.msc를 오픈한 뒤 “eDellRoot” 인증서를 다시 찾아보면 제거 된 이 인증서가 다시 설치된 것을 확인할 수 있습니다.

그렇다면 어떻게 제거 해야 할까요?


이 인증서는 악성이 분명할지라도, 구글 크롬과 마이크로소프트 엣지 및 IE의 경우 암호화 된 웹 세션이 연결될 때 아무런 경고도 보여주지 않았습니다. 다만, 모질라의 파이어폭스 웹 브라우저는 이 인증서를 신뢰할 수 없다는 경고를 보여주는 것으로 확인되었습니다.


따라서 위에 해당 되는 Dell 기기의 유저라면 일단 추가패치가 이뤄지기 이전까지는 파이어폭스를 웹브라우저로 사용하는 것이 좋습니다. 

이 이슈를 완벽하게 처리하려면, 인증서 권한을 수동으로 폐지시켜야 합니다. 방법은 다음과 같습니다.


1. 먼저 사용자의 시스템에서 Dell.Foundation.Agent.Plugins.eDell.dll을 제거합니다.

2. 이후 eDellRoot 루트 CA 인증서를 제거합니다.


Dell은 이에 관해 제보 받은 사실을 조사 중이며 해당 인증서를 확인 중이라고 밝혔습니다.



참고 :

http://thehackernews.com/2015/11/superfish-malware-dell.html

티스토리 방명록 작성
name password homepage