Offcanvas

CSO / 랜섬웨어 / 보안 / 악성코드

랜섬웨어 그룹 ‘쿠바’, MS 개발자 계정 사용해 악성 드라이버 서명 받아

2022.12.15 Lucian Constantin  |  CSO
이 랜섬웨어 갱단은 서명된 악성 드라이버를 사용해 엔드포인트 보안 도구를 비활성화할 수 있었다. 현재 마이크로소프트는 해당 인증서를 해지했다. 

마이크로소프트가 악성 드라이브에 서명을 제공한 자사 하드웨어 개발자 프로그램의 일부 계정을 정지했다고 밝혔다. 이 악성 드라이브는 ‘쿠바(Cuba)’라고 하는 랜섬웨어 그룹이 엔드포인트 보안 도구를 비활성화하는 데 사용됐다. 회사에 따르면 드라이버 인증서가 취소됐으며, 윈도우 사용자가 선택적으로 배포할 수 있는 차단 목록에도 드라이버가 추가됐다. 

보안 회사 소포스(Sophos)의 연구진은 “대부분의 랜섬웨어 사건에서 공격자는 랜섬웨어 배포 전 필수적인 사전 단계에서 타깃의 보안 소프트웨어를 죽인다. 최근 공격에서 몇몇 위협 행위자는 윈도우 드라이버를 사용하여 보안 제품을 비활성화했다”라고 말했다. 
 
ⓒGetty Images Bank

커널 드라이버의 강력함과 이를 보호하려는 MS
커널은 코드가 가장 높은 권한으로 실행되고 컴퓨터와 하드웨어를 완전하게 제어하는, 운영체제에서 가장 민감한 부분이다. 모든 하드웨어 구성 요소를 통신하고 제어하기 위해 커널은 마이크로소프트 또는 하드웨어 업체에서 개발한 장치 드라이버라는 특수 코드 조각을 사용한다. 

윈도우 XP 시절에는 루트킷(루트 수준 맬웨어)이 일반적인 위협이었으며, 서명되지 않은 악의적인 드라이버가 자주 사용됐다. 하지만 윈도우 비스타와 윈도우 7에서 마이크로소프트는 드라이버 서명 유효성 검사를 시행해 이러한 허점을 잠그기 시작했다. 

현재 지원되는 윈도우 버전(윈도우 10 이상)에서는 사용자가 윈도우 하드웨어 개발자 프로그램을 통해 마이크로소프트에서 디지털 교차 서명하지 않은 커널 모드 드라이버를 설치할 수 없다. 드라이버가 윈도우 업데이트를 통한 배포에 적합하려면 마이크로소프트의 인증도 받아야 한다. 

이 새로운 보안 기능으로 악성 드라이버를 사용하는 사례는 현저하게 줄어들었다. 하지만 합법적이고 신뢰할 수 있는 드라이버의 취약점을 악용하는 사례가 나타나기 시작했고, 드라이버 공급업체가 취약점을 패치하기 위해 새 버전을 릴리즈하더라도 악성 프로그램이 사용자 시스템에 이전 버전의 드라이버 배포를 막을 방법이 없었다.  

마이크로소프트는 취약한 드라이버 차단 목록을 만들어 대응했지만 이는 2022년 9월 출시된 윈도우 11 2022 업데이트에서만 기본적으로 활성화된다. 윈도우 10 20H2 및 윈도우 11 21H2는 선택적 업데이트로만 사용할 수 있다. 아울러 이 목록은 주요 윈도우 버전이 릴리즈될 때 1년에 한 번 또는 두 번만 업데이트된다. 이 차단 목록을 적용하는 또 다른 방법은 WDAC(Windows Defender Application Control)를 사용하는 것이다. 

소포스 연구진은 “대부분의 커널 드라이브 공격은 일반적으로 BYOVD(Bring Your Own Vulnerable Driver) 형식을 취하고 있다. 최근의 예로는 취약한 그래픽 카드 오버클러킹 드라이버를 사용한 블랙바이트(BlackByte) 랜섬웨어와 비디오 게임(Genshin Impact)의 소프트웨어 퍼블리셔가 만든 취약한 치트 방지 드라이버를 악용한 랜섬웨어 공격자가 있었다”라고 설명했다. 

‘쿠바’ 랜섬웨어는 드라이버 공격을 한 단계 끌어올렸다
9월 말과 10월에 처음 관찰된 랜섬웨어 그룹 쿠바의 최신 공격은 합법적인 채널인 ‘윈도우 하드웨어 개발자 프로그램(Windows Hardware Developer Program)’ 계정을 통해 얻은 악성 커널 드라이버를 사용했기 때문에 윈도우 커널 드라이버 남용이 증가한 것으로 조사됐다. 

마이크로소프트는 “2022년 10월 19일 센티넬원, 맨디언트, 소포스로부터 이 활동을 통보받았고, 이후 조사를 수행했다”라면서, “이번 조사를 통해 마이크로소프트 파트너 센터의 여러 개발자 계정이 마이크로소프트 계정을 얻기 위해 악성 드라이버를 제출하는 데 관여된 것으로 드러났다. 2022년 9월 29일 서명을 위해 악성 드라이버를 제출하려는 새 시도가 10월 초 판매자 계정 정지로 이어졌다”라고 전했다. 아울러 마이크로소프트는 악성 드라이버에 서명하는 데 사용된 인증서를 취소하는 보안 업데이트도 릴리즈했다. 

랜섬웨어 그룹 쿠바는 랜섬웨어를 배포하기 전에 보안 제품의 프로세스를 종료시킬 수 있는 악성 로더 애플리케이션과 함께 공격 후 활동의 일환으로 드라이버를 사용했다. 이 악성 유틸리티는 이전에도 포착된 적 있으며, 맨디언트는 지난 2월 이를 ‘BURNTCIGAR’라고 명명했다. 당시에는 아바스트 바이러스 백신 프로그램과 관련된 취약한 드라이버를 사용해 배포됐다. 

소포스 연구진은 하드웨어 개발자 및 드라이버 인증 프로그램을 통해 마이크로소프트가 직접 서명한 최신 버전의 도구를 찾은 후 이전 버전의 바이러스토탈(VirusTotal)을 포함하여 맬웨어 데이터베이스를 추적했다고 전했다. 그 결과 해킹 그룹 랩서스(Lapsus$)에 의해 유출된 엔비디아 인증서로 서명된 도구와 함께 제공되는 드라이버 변종 그리고 두 중국 회사의 인증서를 발견했다. 그중 하나는 바이러스 백신 공급업체가 ‘잠재적으로 원하지 않는 애플리케이션(PUA)’으로 자주 플래그를 지정하는 소프트웨어 도구 퍼블리셔였다. 

이는 합법적이지만 취약한 드라이버를 남용하는 것부터 출처가 의심스러운 게시자의 유효한 코드 서명 인증서를 남용하는 것, 마침내 마이크로소프트 하드웨어 개발자 프로그램에 침투하여 마이크로소프트에 의해 직접 서명을 받는 것까지 지난 1년 동안 이 그룹의 전술적 발전을 보여준다고 연구진은 덧붙였다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.