인증서 검증 우회를 통한 Legacy Driver Exploitation 공격 사례

1. 개요

2024년 6월, 보안 업체 CheckPoint-Research(CPR)는 Legacy Driver Exploitation 기법을 사용하는 보안 위협을 발표했다. 이 공격은 주로 Gh0stRAT 악성코드를 통해 감염된 시스템을 원격으로 제어하고 추가적인 피해를 발생시켰다.

공격자는 피싱 사이트와 메시징 앱을 이용해 악성코드를 유포하고 DLL 사이드로딩 기법을 사용해 추가 페이로드를 로드한다. 변조된 TrueSight.sys 드라이버를 사용해 Microsoft의 드라이버 차단 시스템을 우회하고, 정상적인 보안 프로세스인 AntiVirus 및 EDR(Endpoint Detection and Response) 시스템을 강제로 종료시켜 보안 방어를 무력화했다.

이번 공격은 “Legacy Driver Exploitation” 기법을 활용한 새로운 유형의 위협을 제시한다.

 

2. 공격 기법

이 공격의 핵심은 TrueSight.sys 드라이버의 취약점을 악용하는 것이다.

해당 파일은 Adlice Software에서 개발한 악성코드 제거 도구 RogueKiller Antirootkit의 드라이버 모듈로, Rootkit 탐지 및 제거 기능을 제공한다. 그러나 TrueSight.sys 3.4.0 이하 버전에서 임의 프로세스를 종료시킬 수 있는 취약점이 존재하여, 공격자는 AVKiller 도구로 해당 파일을 사용하였다.

Microsoft는 해당 취약점이 존재하는 모든 버전의 TrueSight.sys 드라이버를 Microsoft Vulnerable Driver Blocklist(취약 드라이버 차단 목록)에 등록하였으나, TrueSight 2.0.2.0 버전은 2015년 7월 29일 이전에 서명된 드라이버로서 예외적으로 차단 목록을 우회할 수 있었다. 공격자는 이점을 악용하여 TrueSight 2.0.2.0 버전을 가진 다수의 파일을 생성하기 위해 인증서 영역 변조 기법을 사용하였다.

 

3. 인증서 검증 우회 기법

TrueSight.sys의 변형 파일은 WIN_CERTIFICATE 구조체의 패딩 영역을 임의로 변조하는 방식을 이용한다. 

파일의 디지털 서명에 포함된 WIN_CERTIFICATE 구조체는 파일이 변조되지 않았음을 보증하는 중요한 역할을 한다.  그러나 공격자는 Windows에서 인증서 검증 시 구조체 내의 패딩 영역을 사용하지 않는다는 점을 악용하여, 실제로는 변조된 파일이지만 정상적인 서명이 있는 것처럼 보이도록 만들었다.
이로 인해 패딩 영역이 변조된 파일이 정상적인 서명이 포함된 것처럼 인식되었으며, WinVerifyTrust를 통한 인증서 검증을 우회하는 데 성공했다. 

 (1) WIN_CERTIFICATE 위치 확인

• PE 파일 Certificate Table(Security Directory) 항목을 통해 위치를 참조한다.

[그림 1] 인증서 정보가 포함된 Certificate Table 정보

(2) WIN_CERTIFICATE 영역의 Padding 조작

• 서명 검증에는 영향을 주지 않도록 유지함.

[그림 2] WIN_CERTIFICATE 영역의 Padding 영역

(3) 인증서 검증 우회

• 파일 해시는 달라졌지만 서명 인증서는 유효함을 알 수 있다.

[그림 3]  signtool.exe 을 이용한 인증서 검증 화면

 

 

4. Microsoft 대응

Microsoft는 이 공격에 대한 대응으로 2024년 12월 17일 Microsoft Vulnerable Driver Blocklist 를 업데이트하여 변형된 TrueSight.sys 드라이버와 그 변종을 차단하도록 조치하였다. 이 업데이트는 Microsoft가 알려진 취약점을 악용한 드라이버를 차단하고 시스템 보안을 강화하기 위한 중요한 수단이다.

 

5. 연관 취약점

해당 공격 기법은 CVE-2013-3900 취약점과 밀접한 관련이 있다. 이 취약점은 인증서 테이블의 크기를 임의로 변경하고 헤더 정보를 변조할 경우 인증서 검증을 우회할 수 있는 점을 악용하였다. 이를 통해 인증서 검증을 우회하면서 파일 끝에 악성 데이터를 추가할 수 있다. 

 

Microsoft는 2013년 12월 MS13-098 보안 공지를 통해 인증서 검증을 엄격하게 하는 업데이트를 배포했으나, 일부 애플리케이션과 시스템에서 호환성 문제가 발생하여 2014년 7월 업데이트를 롤백했다.

 

이후 Microsoft는 인증서를 엄격하게 검증하는 보안 옵션을 사용자의 선택에 맡겼다. 사용자가 다음의 레지스트리 키 설정을 적용한 경우 인증서 검증을 강화할 수 있다.

32bit [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”1”

64bit [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”1” [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”1”

Microsoft는 계속해서 보안 강화를 위한 작업을 진행 중이라고 발표하였으며, 이번 공격을 통해 인증서 검증을 강화하는 방법의 필요성이 다시 한번 강조되었다.

 

6. V3 탐지

AhnLab V3는 악의적으로 변조된 TrueSight.sys 2.0.2.0 버전을 Trojan/Win.VulnDriver.R695153 (2025.03.14.03) 으로 진단한다.
V3의 탐지 기능은 시스템 보안을 강화하는 데 중요한 역할을 하며, 사용자는 이를 통해 실시간으로 보안을 점검하고 악성코드를 차단할 수 있다.

 

7. 결론

이번 공격은 Legacy Driver Exploitation 기법을 활용하여 시스템 보안을 무력화하고 악성코드를 유포하는 새로운 유형의 보안 위협을 보여주었다.  공격자는 취약한 드라이버를 악용하고 Microsoft의 드라이버 차단 시스템을 우회하는 방법을 통해 시스템에 침투할 수 있었다.

 

Microsoft는 Vulnerable Driver Blocklist를 통해 이러한 공격을 차단하고 있다. 사용자는 최신 보안 업데이트를 신속하게 적용하고 보안 솔루션을 적극적으로 활용하여 이러한 공격에 대비해야 한다. 또한, 기업과 조직은 정기적인 보안 점검과 취약점 분석을 통해 잠재적인 위험을 미리 파악하고 대응해야 할 시점이다. 

Legacy Driver Exploitation 공격은 단순한 보안 위협을 넘어 시스템 보안의 핵심을 직접적으로 공격하는 방식이기 때문에, 이에 대한 철저한 대응이 필요하다.

 

MD5

05c6c1a7f714aee24118b1ed5471dcfb

08778920cbe7ea998fd31db4eb504fe9

097adb6f2627e52746ca2b47839e27aa

12f762403dd2eadd0d4f58c4bd31059c

1889f580de1d9385eb9e81ba6e2b26cb

URL

http[:]//19nsoo[.]oss-cn-beijing[.]aliyuncs[.]com/

http[:]//2uuo9s[.]oss-cn-beijing[.]aliyuncs[.]com/

http[:]//3syd1z[.]oss-cn-beijing[.]aliyuncs[.]com/

http[:]//662hfg[.]oss-cn-beijing[.]aliyuncs[.]com/

http[:]//fyge20[.]oss-cn-beijing[.]aliyuncs[.]com/