Mac 또는 Windows를 대상으로 하는 악성 코드 공격에 대한 뉴스는 오늘날 인터넷 사용자에게 새로운 것이 아닙니다. 설상가상으로 부트 바이러스, 악성 파일 첨부 파일, 매크로 바이러스와 같은 변종이 이미 각광을 받고 있습니다. 모든 것이 악성코드에서 시작되고 끝난다고 생각한다면 착각입니다. 이는 아직 다가올 일의 징조일 뿐이므로 이를 경고의 종으로 간주하십시오.
사이버 보안 연구소(CSRI)에서 최근 실시한 연구에 따르면 디지털 코드 서명 인증서가 어떻게 위험에 처해 있는지가 밝혀졌습니다. Stuxnet 웜은 2005년 이란의 핵 농축 프로세스를 손상시키는 데 사용된 최초의 종류입니다. 디지털 코드 서명 인증서를 남용한 최근 사례로는 CCleaner에 대한 공격이 있습니다.
디지털 코드 서명 인증서:
디지털 인증서는 개인이나 회사에 신원을 제공하는 신분증과 같습니다. 신뢰할 수 있는 인증 기관(CA)에서 발급합니다.
img src: SSL.org
인증 기관은 보유자의 신원과 권한을 승인하기 위해 디지털 인증서를 발급합니다. 개인이나 회사에 발급된 각 디지털 인증서에는 기타 식별 정보와 함께 공개 키가 내장되어 있습니다. 이러한 인증서는 암호화 방식으로 서명되어 데이터 무결성을 인증하고 그 사용을 검증합니다.
디지털 인증서가 있는 컴퓨터 애플리케이션이나 소프트웨어는 컴퓨터에서 신뢰되며 경고 메시지 없이 프로그램 실행을 허용합니다.
디지털 인증서가 위험에 처해 있나요?적법하게 서명된 디지털 인증서는 다크웹에서 인증서당 최대 1,200$의 가격으로 판매됩니다. 해커는 이러한 인증서를 사용하여 악성 코드를 신뢰할 수 있는 소프트웨어 공급업체와 연결함으로써 악성 코드가 탐지될 위험을 줄입니다. 따라서 대상 네트워크와 사용자 시스템 보안을 쉽게 우회합니다.
걱정할 필요가 있나요?
메릴랜드 대학, 칼리지 파크, 김두원, 권범준, Tudor Dumitras의 보안 연구원 팀은 디지털 서명된 악성 코드가 널리 퍼져 있다는 사실을 발견했습니다. 이미 총 325개의 서명된 악성코드 샘플이 발견되었습니다. 그 중 189개에는 유효한 디지털 서명이 있습니다.
“이러한 기형 서명은 공격자에게 유용합니다. 합법적인 샘플의 Authenticode 서명을 서명되지 않은 악성 코드 샘플에 복사하는 것만으로도 악성 코드가 AV 탐지를 우회하는 데 도움이 될 수 있다는 사실을 발견했습니다. "라고 연구원들은 말했습니다.
손상된 인증서 중 27개 테스트는 이미 취소되었지만 현재 나머지 84개의 인증서는 취소될 때까지 시스템에서 계속 신뢰됩니다.
“멀웨어 제품군의 상당 부분(88.8%)이 단일 인증서에 의존합니다. 악의적인 인증서는 대부분 제3자가 아닌 악성 코드 작성자에 의해 통제됩니다.”라고 세 사람은 말했습니다(메릴랜드 대학교 칼리지 파크의 김두원, 권범준, Tudor Dumitras).
출처: thehackernews.com
인증서가 취소된 후에도 연구원들은 사이버 범죄자들의 인증서 남용이 즉시 중단되지 않는다는 사실을 발견했습니다. 일부 바이러스 백신 프로그램은 해지된 인증서에 포함된 악성 프로그램을 인식하지 못하기 때문입니다. 즉, 악성 코드가 아무런 방해 없이 시스템에서 실행됩니다.
해커는 유효한 Microsoft 서명 Windows 시스템 파일이나 Microsoft Office 파일에 악성 코드를 쉽게 추가할 수 있습니다. 따라서 Microsoft에서 서명한 파일이 보안 프로그램의 화이트리스트에 추가되므로 보안 응용 프로그램에서 숨겨집니다. 이는 중요한 시스템 파일 삭제 및 시스템 충돌을 일으킬 수 있는 잘못된 감지를 방지하기 위한 것입니다.
보호 상태를 유지하려면 어떻게 해야 합니까?
- 운영 체제와 브라우저를 항상 최신 상태로 유지하세요.
- 루트 인증서 영역에 새 CA를 추가하지 마세요.
- 차단 알 수 없는 개발자가 전달한 다운로드 파일을 차단하세요.
- 항상 신뢰할 수 있는 인증서를 추적하세요.
- 엔드포인트 보안 솔루션을 설치하세요.
“디지털 서명된 악성 코드는 유효한 서명이 있는 프로그램만 설치하거나 실행하는 시스템 보호 메커니즘을 우회합니다.' '인증된 악성 코드: Windows 코드 서명 PKI의 신뢰 위반 측정'이라는 논문을 읽습니다.
이것은 실제로 심각한 문제입니다. 해커가 유효한 인증서에 액세스할 수 있다는 것은 아무 것도 안전하지 않다는 것을 의미합니다. 바이러스 백신 프로그램과 시스템은 이러한 위협을 식별할 수 없습니다. 이제 바이러스 백신 프로그램을 쉽게 회피할 수 있습니다.
signedmalware.org에서 공격자가 악용하는 인증서 목록을 확인할 수 있습니다.
읽기: 0
