맬웨어에 사용되는 Nvidia 공격에 코드 서명 인증서가 끼어 있음

2022년 2월 말 칩 제조업체에 대한 사이버 공격의 일환으로 도용된 Nvidia에 속한 인증서는 현재 악성 코드에 서명하는 데 사용되어 악성 코드가 자동화된 방어를 통과하지 못하게 합니다.

Nvidia 인증서로 서명된 악성 패키지는 Windows 기반 시스템을 대상으로 사용됩니다. Nvidia는 2월 말에 Lapsus$ 랜섬웨어 갱 의 표적이 되었으며 문제의 인증서가 공격의 일부로 유출되었습니다. Lapsus$ 공격의 요약 볼륨은 칩 제조업체의 서버에서 빼낸 약 1TB의 데이터에 달했습니다.

OS에서 여전히 허용되는 만료된 인증서

도난당한 인증서 외에도 Lapsus$는 70,000명 이상의 Nvidia 직원에 속한 회로도, 드라이버, 이메일 및 비밀번호 해시 데이터도 훔쳤습니다.

보안 연구원들은 초기 공격이 있은 지 며칠 후 트위터에 맬웨어가 포함된 바이너리에 서명하는 데 동일한 인증서가 사용되고 있다고 보고했습니다. 도난당한 인증서를 사용하는 페이로드는 나중에 Mimikatz , Cobalt Strike 및 백도어 및 원격 액세스 악성 도구의 인스턴스로 식별되었습니다.

도난당한 Nvidia 인증서가 만료되었지만 연구원들은 Windows 시스템에 잘 배포되는 드라이버와 같은 소프트웨어 서명에 여전히 사용할 수 있음을 발견했습니다.

CERT의 취약점 분석가인 Will Dormann과 Kevin Beaumont는 오용된 Nvidia 인증서의 일련 번호를 다음과 같이 공유했습니다.

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft는 완화 기술을 제공합니다.

Microsoft의 엔터프라이즈 및 OS 보안 이사는 Nvidia 드라이버가 시스템에 로드할 수 있는 것을 제한하는 방법을 트윗했지만 이를 위해서는 Windows Defender 애플리케이션 제어 정책의 설정을 조정해야 합니다. 사용자는 집에 있지만 IT 보안 전담 직원이 있는 기업 및 대규모 네트워크에는 여전히 도움이 되어야 합니다.

Nvidia에 대한 공격의 일환으로 Lapsus$ 랜섬웨어 갱단은 칩 제조업체에 모든 드라이버를 오픈 소스로 만들 것을 요구했습니다. 이는 분명히 절대 일어나지 않을 일입니다. 해커들은 스스로 소스를 공개하겠다고 위협했지만 이것은 현시점에서 여전히 위협에 불과합니다.