제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

해커는 Microsoft 서명 루트킷으로 중국 게이머를 표적으로 삼습니다.

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 83

중국의 게임 사용자를 대상으로 하는 새로운 캠페인은 공격자가 점점 더 정교한 루트킷을 사용하여 악성 페이로드를 숨기고 보안 도구를 비활성화하며 피해자 시스템에서 지속성을 유지하는 방법을 보여주는 최신 사례입니다.

이 경우의 새로운 루트킷에는 유효한 Microsoft 디지털 서명이 있습니다. 즉, 보안 경고를 차단하거나 트리거하지 않고 최신 Windows 버전을 실행하는 시스템에 성공적으로 로드할 수 있습니다. 공격자가 선택한 XNUMX단계 맬웨어를 배포하고 지속성을 유지할 수 있도록 대상 시스템에서 Windows Defender 소프트웨어를 종료하도록 설계된 드라이버를 포함하여 다른 서명되지 않은 커널 모드 드라이버를 메모리에 직접 다운로드할 수 있습니다.

커널 모드 드라이버 위협

Trend Micro의 연구원들은 최근 중국의 게임 사용자를 대상으로 하는 악성 커널 드라이버를 발견하고 지난 달 Microsoft에 이러한 발견을 보고했습니다. 그들은 배후에 있는 알려지지 않은 위협 행위자가 웹 트래픽을 모니터링하고 리디렉션하는 유사한 2021년 루트킷 배후에도 있다고 믿고 있습니다. 파이브시스, 그것은 또한 중국 게임 부문을 목표로 삼았습니다.

이 새로운 맬웨어는 지난 XNUMX년 동안 보안 연구원들이 발견한 점점 더 많은 Microsoft 서명 커널 드라이버 중 하나입니다. 다른 예는 다음과 같습니다. 불쌍한 시도, Mandiant가 지난 XNUMX월에 보고한 루트킷으로 위협 행위자가 랜섬웨어 배포를 포함하여 다양한 방식으로 사용하고 있습니다. 그리고 넷필터 IP 리디렉션용; 그리고 파이브시스. 지난 XNUMX월 소포스는 Microsoft 서명 Windows 드라이버 대상 시스템에서 바이러스 백신 소프트웨어 및 엔드포인트 보안 도구를 죽이도록 설계되었습니다. 많은 사람들은 엔드포인트 도구가 다른 경로를 통해 밀입된 위협을 탐지하는 데 얼마나 효과적인지 때문에 공격자가 이러한 도구를 점점 더 많이 사용하고 있다고 생각합니다.

이러한 도구 중 다수는 게임에서 자격 증명 도용 및 지리적 위치 부정 행위와 같은 목적으로 중국의 게임 부문을 표적으로 삼았습니다. 그러나 공격자가 다른 지역에서 그리고 수많은 다른 악의적인 사용 사례에 이를 사용하지 못할 이유가 없습니다.

트렌드마이크로 연구원인 마흐무드 조디(Mahmoud Zohdy)는 "이러한 기능을 구축하는 것이 얼마나 복잡한지에도 불구하고 현재 악의적인 공격자들은 최종 동기와 목표에 관계없이 그러한 도구, 전술 및 절차(TTP)의 능력과 일관된 사용을 보여주고 있는 것으로 보입니다."라고 말했습니다. 셰리프 마그디, 모하메드 파미 이번 주에 썼다..

범용 루트킷 로더

연구원들은 그들이 발견한 새로운 악성코드가 범용 루트킷 로더로 작동하는 독립형 커널 드라이버임을 확인했습니다. 2단계 드라이버(Microsoft 서명 드라이버)는 커널 모드 네트워크 프로그래밍 인터페이스인 Windows 소켓 커널을 사용하여 명령 및 통신(CXNUMX) 서버와 통신합니다. 세 명의 연구원은 "DGA(Domain Generating Algorithm) 알고리즘을 사용하여 다른 도메인을 생성합니다."라고 말했습니다. "주소를 확인하지 못하면 드라이버 내부에 하드 코딩된 폴아웃 IP에 직접 연결됩니다."

XNUMX단계 드라이버는 자체 서명된 XNUMX단계 드라이버의 로더 역할을 합니다. XNUMX단계 드라이버는 서명된 XNUMX단계 드라이버를 통해 다운로드되기 때문에 Windows 기본 드라이버 로더를 우회하고 메모리에 직접 로드됩니다. 그런 다음 맬웨어는 지속성을 유지하고 디스크에서 존재 흔적을 제거하기 위한 일련의 단계를 시작합니다.

트렌드마이크로는 두 악성코드 도구 사이의 다양한 유사성 때문에 새로운 악성코드를 FiveSys 공격자와 연결할 수 있었다고 말했습니다. 새로운 악성코드와 관련된 FiveSys 루트킷과 XNUMX단계 루트킷은 웹 브라우징 트래픽을 공격자가 제어하는 ​​서버로 리디렉션하는 기능을 합니다. 둘 다 웹 트래픽을 모니터링하고 파일 시스템 기능을 후크할 수 있다고 Trend Micro는 말했습니다.

불량 개발자 계정

Microsoft는 문제를 비난 파트너 프로그램 내 악성 개발자 계정의 Microsoft 서명 악성 드라이버. 회사에 따르면 "MPC(Microsoft Partner Center)의 여러 개발자 계정이 Microsoft 서명을 얻기 위해 악성 드라이버를 제출하는 데 관여했습니다." 2023년 XNUMX월 보안 업데이트 발표와 함께 제공된 권고에서 회사는 모든 계정을 정지하고 악성 드라이버를 탐지하고 차단하기 위한 업데이트를 발표했다고 밝혔습니다.

한편, Cisco Talos는 이번 주에 공개 소스 디지털 서명 타임스탬프 위조 도구를 사용하여 커널 모드 Microsoft 드라이버의 서명 날짜를 변경하고 이를 수천 개 배포하는 공격자를 발견했다고 밝혔습니다. 회사는 활동을 Microsoft Windows 드라이버 서명의 허점 정책. 정책 기본적으로 Windows는 Microsoft의 Dev Portal을 통해 서명하지 않는 한 새로운 커널 수준 드라이버를 로드하지 않도록 지정합니다. 그러나 이 정책은 "29년 2015월 XNUMX일 이전의 서명 타임스탬프가 있는 교차 서명된 커널 모드 드라이버의 서명 및 로드"를 허용하는 예외를 제공합니다. 위협 행위자는 허점을 악용하여 만료된 드라이버를 포함하여 드라이버에 서명하므로 정책 면제에 해당하고 이를 사용하여 맬웨어를 배포하고 있습니다.

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.