최근 Microsoft는 올해 6월 24일 Windows 11 발표로 인해 뉴스에 등장했습니다. 하지만 이것이 사람들 사이에서 화제가 된 유일한 이유는 아닙니다. 최근 공개된 악성 코드 정보와 함께 출시된 많은 업데이트와 같은 몇 가지 다른 이유가 있습니다.
MSRC(Microsoft 보안 대응 센터)는 악성 코드가 포함된 드라이버를 허용했다고 인정했습니다. 중국의 명령 및 제어(C2) 서버와 데이터를 교환하던 루트킷 악성코드. 특정 악의적인 행위자가 Redmond 거대 기업을 속여 게임 환경을 대상으로 설계된 Netfilter 드라이버에 서명한 것 같습니다. 이 드라이버는 플레이어의 지리적 위치를 숨기고 모든 지역에서 플레이하는 데 사용되었습니다.
이 악성 코드의 첫 번째 사례는 독일 사이버 보안 회사 G Data의 악성 코드 분석가인 Karsten Hahn에 의해 식별되었습니다. ""Windows Vista부터 커널 모드에서 실행되는 모든 코드는 운영 체제의 안정성을 보장하기 위해 공개 출시 전에 테스트 및 서명을 받아야 합니다." 한이 말했다. “Microsoft 인증서가 없는 드라이버는 기본적으로 설치할 수 없습니다.”라고 그는 계속했습니다.
이 악성코드는 어떻게 작동했나요?
MSRC는 악의적인 의도를 가진 사람들이 이 악성 코드를 사용하여 다른 게이머를 이용하고 키로거를 사용하여 계정 자격 증명을 손상시켰다고 설명했습니다. 그들은 또한 직불/신용 카드 정보 및 이메일 주소를 포함한 다른 정보를 해킹할 수도 있었습니다.
Netfilter가 사용자가 패킷 필터링을 활성화하고 네트워크를 변환할 수 있게 해주는 합법적인 애플리케이션 패키지라는 점은 흥미롭습니다. 구애. 또한 새 루트 인증서를 추가하고, 새 프록시 서버를 설정하고, 인터넷 설정을 수정하는 데 도움을 줄 수 있습니다.
사용자가 시스템에 이 애플리케이션을 설치하면 C2 서버에 연결되어 구성 정보를 수신하고 업데이트. 또한 Microsoft는 공격에 사용된 기술이 악용 이후에 발생한다고 설명했는데, 이는 상대방이 먼저 관리 권한을 얻은 다음 시스템 시작 중에 드라이버를 설치해야 함을 나타냅니다.
“보안 환경은 다음과 같이 계속 빠르게 발전하고 있습니다. 위협 행위자들은 다양한 벡터에 걸쳐 환경에 접근할 수 있는 새롭고 혁신적인 방법을 찾습니다.”라고 MSRC는 말했습니다.
Hahn은 악성 코드를 발견한 주요 인물로 인정받았지만 나중에 다음을 포함한 다른 악성 코드 연구원들이 합류했습니다. 요한 n Aydinbas, 하루야마 타카히로, 플로리안 로스. 그는 Microsoft의 코드 서명 프로세스에 대해 우려했고 Microsoft가 승인한 드라이버 세트에 다른 악성 코드가 숨겨져 있는지 의심했습니다.
악의적인 행위자의 작업 방식
Microsoft는 이 사실을 통보받은 후 해당 사건을 조사하고 이러한 일이 다시 발생하지 않도록 예방 조치를 취하는 데 필요한 모든 조치를 취했습니다. 마이크로소프트는 훔친 코드 서명 인증서가 사용됐다는 증거가 없다고 밝혔다. 이 악성 코드 배후의 사람들은 Microsoft 서버에 드라이버를 제출하는 합법적인 프로세스를 따랐으며 Microsoft 서명 바이너리도 합법적으로 획득했습니다.
Microsoft는 해당 드라이버가 제3자 개발자에 의해 제작되었으며 다음을 통해 승인을 위해 제출되었다고 밝혔습니다. Windows 하드웨어 호환성 프로그램. 이 사건 이후 Microsoft는 이 드라이버를 제출한 계정을 일시 중지하고 해당 계정에서 제출한 모든 항목을 최우선적으로 검토하기 시작했습니다.
또한 Microsoft는 파트너 액세스 정책과 유효성 검사를 개선할 것이라고 밝혔습니다. 그리고 보호 기능을 더욱 강화하기 위한 서명 프로세스를 진행합니다.
Microsoft의 결론은 Rootkit Malware가 로드된 Netfilter 드라이버에 대한 서명을 수락했다는 것입니다.Microsoft는 해당 악성 코드가 중국의 게임 부문을 공격하기 위해 제작되었으며 작업인 것으로 보인다고 주장합니다. 소수의 개인들만이요. 조직이나 기업을 악성 코드와 연결하는 연결은 없습니다. 그러나 이러한 오해의 소지가 있는 바이너리는 누구나 대규모 소프트웨어 공격을 시작하는 데 악용될 수 있다는 점을 이해해야 합니다.
과거에는 이란의 핵 프로그램을 공격한 스턱스넷(Stuxnet) 공격처럼 이러한 공격이 촉진됐다. 이는 코드 서명에 사용된 인증서가 Realtek과 JMicron에서 도난당했기 때문입니다.
Microsoft가 Windows 11 출시를 준비하고 있는 상황에서 이번 사건은 Microsoft가 운영 체제에 제공하는 안전성과 보안에 대한 의구심을 불러일으킵니다. . 어떻게 생각하나요? 아래 댓글 섹션에서 여러분의 생각을 공유해 주세요. 소셜 미디어에서 우리를 팔로우하세요 – .
읽기: 0
