핫페이지 악성코드

사이버 보안 연구원들이 광고와 사기성 웹사이트를 차단한다고 주장하는 애드웨어 모듈을 발견했습니다. 그러나 커널 드라이버 구성 요소를 비밀리에 설치하여 해커가 Windows 시스템에서 높은 권한으로 임의 코드를 실행할 수 있도록 합니다. HotPage라는 이름의 이 악성코드는 설치 프로그램 파일 'HotPage.exe'로 식별됩니다.

HotPage 악성코드는 어떻게 작동하나요?

설치 프로그램은 브라우저 네트워크 트래픽을 가로채고 조작하는 두 개의 라이브러리와 함께 원격 프로세스에 코드를 삽입할 수 있는 드라이버를 설정합니다. 이 악성 코드는 웹 페이지의 콘텐츠를 수정 또는 교체하고, 사용자를 다른 페이지로 리디렉션하거나, 특정 조건에 따라 새 탭을 열 수 있습니다.

이 악성코드는 트래픽 차단 및 필터링 기능을 이용해 게임 관련 광고를 표시하는 것 외에도 중국 기업인 Hubei Dunwang Network Technology Co., Ltd.와 연결된 원격 서버에 시스템 정보를 수집하여 전송하도록 설계되었습니다.

드라이버의 주요 기능은 이러한 라이브러리를 브라우저 애플리케이션에 삽입하여 실행 흐름을 변경하여 액세스된 URL을 변경하거나 새 브라우저 세션의 홈페이지가 해당 구성에 지정된 URL로 리디렉션되도록 하는 것입니다.

공격자는 감염된 장치에 대해 최고 수준의 권한을 얻을 수 있습니다

드라이버에 대한 ACL(액세스 제어 목록)이 부족하면 권한이 없는 계정을 가진 공격자가 이를 악용하여 상승된 권한을 얻을 수 있으며 이를 통해 NT AUTHORITY\System 계정으로 코드를 실행할 수 있습니다.

이 커널 구성 요소는 Windows의 가장 높은 권한 수준인 시스템 계정을 실수로 잠재적인 위협에 노출시킵니다. 부적절한 액세스 제한으로 인해 모든 프로세스는 이 구성 요소와 상호 작용할 수 있으며 코드 삽입 기능을 사용하여 보호되지 않은 프로세스를 대상으로 할 수 있습니다.

설치 프로그램의 정확한 배포 방법은 불분명하지만, 광고를 차단하여 검색 경험을 향상시킨다고 주장하면서 인터넷 카페용 보안 솔루션으로 마케팅되었다는 증거가 있습니다.

HotPage 악성 코드는 서명된 인증서를 악용합니다.

이 악성코드에 내장된 드라이버는 Microsoft에서 서명했기 때문에 특히 주목할 만합니다. 이를 배후에 있는 중국 회사는 마이크로소프트의 드라이버 코드 서명 요구 사항을 충족하고 확장 검증(EV) 인증서를 획득한 것으로 추정됩니다. 그러나 해당 드라이버는 2024년 5월 1일부터 Windows Server 카탈로그에서 제거되었습니다.

Windows에서는 보안 제어를 약화시키고 시스템 프로세스를 방해할 수 있는 사기성 드라이버로부터 보호하기 위한 중요한 보안 조치로 커널 모드 드라이버에 디지털 서명을 요구합니다.

그럼에도 불구하고 사이버 보안 전문가들은 중국어를 사용하는 위협 행위자들이 Microsoft Windows 정책의 허점을 이용하여 커널 모드 드라이버의 서명을 위조하고 있음을 발견했습니다. 상대적으로 일반적인 맬웨어로 보이는 HotPage에 대한 분석은 애드웨어 개발자가 목표를 달성하기 위해 계속해서 많은 노력을 기울이고 있음을 보여줍니다.