Microsoft에서 Microsoft 인증서로 서명된 악성코드가 유포되고 내용에 대해 공개하였다.[1] 그 내용에 따르면 Microsoft의 여러 개발자 계정의 유출로 인해 Windows 하드웨어 개발자 프로그램(Windows Hardware Developer Program)에서 인증한 드라이버가 악용되었으며, 피해를 막기 위하여 Microsoft에서는 관련한 계정을 차단하고 보안 업데이트(Microsoft Defender 1.377.987.0 이상)를 적용하였다.
Windows에서는 커널 모드 드라이버를 로드 할 때 보안 위험을 방지하기 위하여 서명이 되어있을 경우 로드가 가능하다. 만약 서명되어 있지 않을 경우 로드되지 못하고 오류를 발생시킨다. 따라서 이번에 알려진 악성 드라이버의 기능을 하기 위해서는 서명이 필수적으로 필요했을 것이며, 유효한 Microsoft 인증서가 사용되어 사용자들은 악의적으로 제작된 파일임을 쉽게 알기 어려웠을 것이다.
이 악성코드들은 SentinelOne[2], Mandiant, Sophos[3]로부터 먼저 발견되었으며, 해당 업체에서는 관련 악성코드에 대한 정보를 공개하였다. 보안 프로그램을 종료하기위해 제작 및 사용되었으며, 최종적으로는 랜섬웨어 유포를 위한 목적으로 사용된 것으로 밝혔다. 공개된 드라이버 파일은 보안 프로그램 무력화 도구로 아래와 같은 기능을 가지고 있다.
[그림 1] 프로세스 종료(IOCTL : 0x222094)
[그림 2] 프로세스 일시 중지(IOCTL : 0x22209C)
[그림 3] 프로세스 재개(IOCTL : 0x2220A0)
드라이버를 설치한 로더가 해당 드라이버에 값을 전달하여 수행되는데, 전달되는 값은 IOCTL(Input/Output Control Code) 번호와 타겟 프로세스 정보이다. IOCTL은 유저 모드 애플리케이션과 드라이버간의 통신 인터페이스로, 드라이버에는 위 [그림 1~3]과 같이 기능마다 IOCTL번호가 부여되어 있다. 로더에서 특정 기능에 맞는 IOCTL 번호와 프로세스 정보를 전달해 동작한다. Sophos 업체에 의하면 종료될 타겟 프로세스는 로더에 명시되어 있으며, 여러 보안 업체의 서비스와 프로세스 이름이 확인된다. 따라서 로더에 명시된 보안 프로그램이 무력화 될 수 있다.
또한 드라이버 통신 시에는 “\\\\.\\KApcHelperLink1” 이름의 심볼릭 링크가 사용된다.
[그림 4] 드라이버의 심볼릭 링크
이 피해를 막기 위해 사용자들은 Windows 보안 업데이트를 최신으로 적용하여야하며, 현재 V3 에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
Trojan/Win32.Agent.C114064
Trojan/Win.RootkitDrv.C5311744
Trojan/Win.RootkitDrv.C5311748
Trojan/Win.RootkitDrv.C5311745
Trojan/Win.RootkitDrv.C5313281
Trojan/Win.RootkitDrv.C5313299
Trojan/Win.RootkitDrv.C5313267
Trojan/Win.RootkitDrv.C5313273
Trojan/Win.RootkitDrv.C5313261
Trojan/Win.RootkitDrv.C5313014
Trojan/Win.RootkitDrv.C5313271
Trojan/Win.RootkitDrv.C5313304
Trojan/Win.RootkitDrv.C5313297
Trojan/Win.RootkitDrv.C5313257
Trojan/Win.RootkitDrv.C5311743
Trojan/Win.RootkitDrv.C5313262
Trojan/Win.RootkitDrv.C5311747
Trojan/Win.RootkitDrv.C5313269
Trojan/Win.RootkitDrv.C5313259
Trojan/Win.RootkitDrv.C5313278
Trojan/Win.RootkitDrv.C5313296
Trojan/Win.RootkitDrv.C5311742
Trojan/Win.RootkitDrv.C5311746
Trojan/Win.RootkitDrv.C5313303
Trojan/Win.RootkitDrv.C5313265
Trojan/Win.RootkitDrv.C5311749
Trojan/Win.RootkitDrv.C5313295
Trojan/Win.RootkitDrv.C5313263
Trojan/Win.RootkitDrv.C5313260
Trojan/Win.RootkitDrv.C5313302
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보