Fivesys 조사 – Microsoft에서 발행한 무단 디지털 서명
게시 됨: 2022-12-23- 루트킷이란 무엇입니까?
- Fivesys 루트킷이란 무엇입니까?
- Microsoft의 디지털 서명은 어떻게 얻었습니까?
- Fivesys와 같은 루트킷을 제거하는 방법?
- 1. 루트킷 제거 소프트웨어를 사용합니다.
- 2. 부팅 시 검사를 실행합니다.
- 3. 장치를 닦고 운영 체제를 다시 설치하십시오.
- 루트킷으로부터 보호하기 위해 무엇을 할 수 있습니까?
- 마무리
해커는 컴퓨터 시스템에 대한 무단 액세스 권한을 부여하는 루트킷 또는 악성 소프트웨어를 이용하여 Microsoft의 디지털 인증을 받았습니다. 이 놀라운 발견은 우리가 악성 소프트웨어에 얼마나 취약한지에 대한 중요한 질문을 제기합니다. 이 루트킷과 이것이 Microsoft의 보안 프로토콜을 어떻게 우회했는지 자세히 살펴보겠습니다.
루트킷이란 무엇입니까?
루트킷은 사이버 범죄자가 컴퓨터 시스템을 제어하는 데 사용할 수 있는 악성 소프트웨어 도구입니다. 이러한 도구를 통해 공격자는 맬웨어 및 악의적인 활동을 숨기거나 감지되지 않은 채 시스템에 액세스할 수도 있습니다.
루트킷은 10여 년 전 사이버 범죄의 최상위 포식자였습니다. 이러한 은밀한 컴퓨터 프로그램은 운영 체제 및 맬웨어 방지 솔루션의 악의적인 활동을 숨기면서 공격자에게 피해자의 컴퓨터에 대한 지속적인 발판을 제공하도록 설계되었습니다.
Windows Vista에 도입된 보안 완화 기능은 운영 체제 커널 내부에 있는 이러한 침입자를 제거했지만 때때로 다시 나타납니다.
루트킷에는 백도어, 키로거, 데이터 도용 맬웨어, 악성 스크립트 및 시스템 소유자나 관리자가 탐지하기 어렵게 만드는 기타 정교한 방법이 포함될 수 있습니다. 취약점을 악용하여 사용자 자격 증명을 요구하지 않고 시스템을 제어하고 저장된 기밀 정보에 액세스할 수 있습니다.
따라서 가볍게 여겨서는 안 되는 사이버 보안에 대한 위험한 위협 입니다. 실제로 루트킷 위협이 더욱 발전하고 정교해짐에 따라 조직과 개인이 사용 가능한 최신 방어 메커니즘에 대한 정보를 유지하고 이러한 공격으로부터 보호하기 위해 시스템을 정기적으로 업데이트하는 것이 점점 더 중요해지고 있습니다.
Fivesys 루트킷이란 무엇입니까?
사이버 보안 회사인 Bitdefender의 최근 보고서에 따르면 전자 범죄자들은 "FiveSys"라는 이름의 루트킷을 사용하여 소름 끼치게도 Microsoft로부터 전자 서명을 받았습니다.
이 악성 프로그램은 공격자에게 감염된 시스템에 대한 "사실상 무제한 권한"을 부여했으며 해커는 이 프로그램을 사용하여 자격 증명 도용 및 게임 내 구매 하이재킹을 위해 온라인 게이머를 표적으로 삼았습니다. 연구원에 따르면 "FiveSys"는 다른 유형의 데이터 도용으로 리디렉션될 수도 있습니다.
합법적으로 보이는 Microsoft Windows Hardware Quality Labs Testing(WHQL) 드라이버 인증서가 포함되어 있기 때문에 루트킷 FiveSys는 대상 시스템에 대한 액세스 권한을 얻을 수 있었습니다.
WQOS는 공식 Windows 업데이트 프로그램을 통해 인증된 드라이버를 Windows 컴퓨터에 설치할 수 있도록 하는 독특한 디지털 서명을 생성하여 최종 사용자에게 확신을 줍니다. 일단 로드되면 루트킷은 생성자에게 거의 무제한의 권한을 부여합니다.
보안 회사인 Bitdefender는 유효한 전자 서명을 가진 악성 드라이버의 증가를 발견했습니다. 회사에 따르면 문제의 루트킷은 공격자가 HTTP 및 HTTPS 트래픽을 공격자가 제어하는 프록시 서버의 도메인으로 다시 라우팅하여 보안을 우회하고 대상 시스템에 대한 액세스 및 제어 권한을 얻을 수 있도록 합니다.
손상된 WHQL 인증서는 올해 초 발견된 Netfilter 루트킷에 사용된 인증서와 유사합니다. Fivesys는 Microsoft 인증서를 사용하는 두 번째 루트킷이며 Bitdefender는 더 많은 공격이 합법적인 드라이버 인증서를 사용할 것이라고 예측합니다.
Bitdefender에 따르면 FiveSys는 중국에서 시작되었으며 주로 중국 온라인 게임 플레이어를 대상으로 하는 것으로 나타났습니다. 보안 회사에 따르면 궁극적인 목표는 게임 내 구매를 위해 게임에서 자격 증명을 제어하는 것입니다. Fivesys는 아직 중국 이외 지역에서는 발견되지 않았습니다.
이 루트킷이 손상된 트래픽을 다시 라우팅하는 무작위성으로 인해 이를 제거하기가 어렵습니다. 잠재적인 게시 중단 시도를 복잡하게 만들기 위해 루트킷에는 '.xyz' TLD에 무작위로 생성되어 바이너리 내부에 암호화된 형태로 저장된 것으로 보이는 300개의 도메인 목록이 포함되어 있습니다.
자신을 보호하기 위해 루트킷은 레지스트리 편집 기능을 방지하고 다양한 그룹의 다른 루트킷 및 맬웨어 설치를 방지하는 등 다양한 전략을 사용합니다.
랜덤 패턴 때문에 도메인을 식별하고 종료하기가 어렵습니다. Bitdefender는 WHQL 드라이버 인증서 사용과 관련하여 Microsoft에 즉시 연락했습니다. Microsoft는 신속하게 전자 서명을 취소했습니다.
Microsoft의 디지털 서명은 어떻게 얻었습니까?
사이버 범죄자는 훔친 디지털 인증서를 사용하는 것으로 알려져 있지만 이 경우 유효한 인증서를 얻을 수 있었습니다. 사이버 범죄자가 유효한 인증서를 얻을 수 있었던 방법은 아직 명확하지 않습니다.
디지털 서명은 기업 및 기타 대규모 조직에서 보안을 위해 사용하는 알고리즘입니다. 전자 서명은 특정 엔터티에 연결된 "가상 지문"을 생성하고 해당 엔터티의 신뢰성을 확인하는 데 사용됩니다. 보안 조치로 Microsoft는 디지털 서명 프로세스를 사용하여 신뢰할 수 있는 출처에서 온 것으로 보이지 않는 프로그램을 거부합니다.
그러나 이 회사의 보안 프로토콜은 "FiveSys" 루트킷과 해당 사이버 범죄자 핸들러 가 마이크로소프트의 디지털 승인 스탬프로 서명된 악성 프로그램을 얻을 수 있었던 상대가 되지 못한 것으로 보입니다. 그들이 이것을 어떻게 달성했는지는 불분명합니다.
유효성 검사를 위해 제출되었을 수 있으며 어떻게든 검사를 통과했습니다. 디지털 서명 요구 사항은 대부분의 루트킷을 감지하고 중지하지만 완벽하지는 않습니다. FiveSys가 어떻게 확산되는지는 불분명하지만 연구자들은 크랙된 소프트웨어 다운로드와 함께 번들로 제공된다고 믿고 있습니다.
일단 설치되면 FiveSys 루트킷은 인터넷 트래픽을 프록시 서버로 리디렉션합니다. 이는 브라우저가 프록시의 알 수 없는 ID에 대해 경고하지 않도록 사용자 지정 루트 인증서를 설치하여 수행합니다. 또한 다른 사이버 범죄자가 손상된 시스템을 악용하는 것을 방지하기 위해 다른 멀웨어가 드라이버에 기록되는 것을 방지합니다.
공격 분석에 따르면 FiveSys 루트킷은 로그인 자격 증명을 훔치고 게임 내 구매를 가로채기 위해 온라인 게이머에 대한 사이버 공격에 사용되고 있습니다.
온라인 게임의 인기로 인해 많은 돈이 관련될 수 있습니다. 은행 정보가 계정에 연결되어 있을 뿐만 아니라 유명한 가상 아이템이 판매될 때 많은 돈을 가져올 수 있기 때문에 공격자가 액세스 권한을 악용하여 훔치고 판매할 수 있음을 암시합니다. 이 항목들.
현재 이 공격은 중국의 게이머를 대상으로 하고 있으며 연구자들은 공격자들도 중국에 기반을 두고 있다고 생각합니다.
Fivesys와 같은 루트킷을 제거하는 방법?
Fivesys와 같은 루트킷을 제거하는 것은 어렵고 복잡한 작업이 될 수 있습니다. 대부분의 바이러스 백신 솔루션은 이러한 악성 프로그램을 탐지하지 못하므로 이에 대한 사전 조치가 필수적입니다. 첫 번째 단계는 루트킷을 감지하고 제거하는 컴퓨터의 정밀 스캔을 완료하는 것입니다. 다음으로 다음 단계를 따르십시오.
1. 루트킷 제거 소프트웨어를 사용합니다.
대부분의 루트킷은 필수 보호 장치를 우회할 수 있으므로 Windows Defender 또는 기타 기본 제공 보안 소프트웨어에 의존하지 마십시오. 완벽한 보호를 위해 Avast One과 같은 특수 소프트웨어를 사용하십시오. Avast는 세계 최대의 위협 탐지 네트워크와 머신 러닝 맬웨어 보호 기능을 하나의 경량 도구로 결합하여 루트킷을 탐지 및 제거하고 모든 유형의 미래 온라인 위협으로부터 방어할 수 있습니다.
2. 부팅 시 검사를 실행합니다.
최신 맬웨어는 바이러스 백신 소프트웨어의 탐지를 피하기 위해 정교한 기술을 사용합니다. 운영 체제를 실행하는 장치의 루트킷은 자동화된 바이러스 백신 검사를 능가할 수 있습니다.
바이러스 백신 프로그램이 운영 체제가 특정 맬웨어 파일을 열도록 요청하는 경우 루트킷은 데이터 흐름을 변경하고 대신 무해한 파일을 열 수 있습니다. 또한 맬웨어에 대한 정보를 저장 및 공유하고 검사에 포함되지 않도록 하는 맬웨어 파일의 열거 코드를 변경할 수 있습니다.
루트킷은 부팅 시간 검사를 통해 컴퓨터 시작 프로세스 중에 감지됩니다. 부팅 시 검사의 장점은 루트킷이 일반적으로 여전히 휴면 상태이며 시스템에 숨을 수 없다는 것입니다.3.
3. 장치를 닦고 운영 체제를 다시 설치하십시오.
바이러스 백신 소프트웨어와 부팅 시 검사가 루트킷을 제거하지 못하는 경우 데이터를 백업하고 장치를 지우고 처음부터 다시 설치해 보십시오. 이것은 루트킷이 부트, 펌웨어 또는 하이퍼바이저 수준에서 작동할 때 때때로 유일한 옵션입니다.
먼저, 필수 파일을 백업하기 위해 하드 드라이브를 포맷하고 하드 드라이브를 복제하는 방법을 이해해야 합니다. 기본 C: 드라이브를 지워야 할 수도 있지만 여전히 대부분의 데이터를 유지할 수 있습니다. 이것은 루트킷을 제거하기 위한 마지막 옵션입니다.
맬웨어 방지 소프트웨어를 자주 업데이트하면 새로운 침입 시도로부터 시스템을 안전하게 보호할 수 있습니다. 이러한 기술을 사용하면 Fivesys와 같은 기존 및 새로운 루트킷을 훨씬 더 간단하게 처리할 수 있습니다.
루트킷으로부터 보호하기 위해 무엇을 할 수 있습니까?
루트킷은 감지하고 제거하기 어려울 수 있는 심각한 보안 위협이지만 이러한 가능성을 줄이기 위해 취할 수 있는 예방 조치가 있습니다. 예를 들어 운영 체제와 소프트웨어를 최신 상태로 유지하면 루트킷 설치에 대해 알려진 공격 벡터에 취약해지지 않습니다. 여기에서는 우수한 패치 관리가 핵심이며 바이러스 백신 소프트웨어도 필수입니다. 바이러스 정의를 최신 상태로 유지하여 공격자가 선택할 수 있는 옵션이 적습니다.
무엇이든 다운로드할 때도 주의하세요. 항상 신뢰할 수 있는 출처에서 제공되고 좋은 리뷰가 있는지 확인하세요. 서명되지 않은 드라이버 또는 실행 파일은 루트킷의 취약한 진입점이 될 수 있으므로 비활성화합니다. 마지막으로 강력한 방화벽 또는 웹 필터링 프록시는 패치되지 않은 시스템의 취약점을 악용하려는 공격자를 차단하는 데 도움이 됩니다. 이러한 모든 예방 조치를 통해 루트킷 감염을 완화할 수 있는 최상의 기회를 얻을 수 있습니다.
루트킷은 현재 게임 계정에서 로그인 자격 증명을 훔치는 데 사용되고 있지만 향후 다른 대상에 대해 사용될 수 있습니다. 그러나 몇 가지 간단한 사이버 보안 예방 조치를 취하면 이와 유사한 공격의 피해자가 되는 것을 피할 수 있습니다.
안전을 위해 공급업체의 웹 사이트나 신뢰할 수 있는 출처에서만 소프트웨어를 다운로드하십시오. 또한 최신 보안 솔루션은 루트킷을 포함한 맬웨어를 탐지하고 실행을 방지할 수 있습니다.
FiveSys와 같은 악성 소프트웨어로부터 자신을 보호하기 위한 조치를 취하는 것이 중요합니다. 최신 패치로 시스템을 최신 상태로 유지하십시오. 이렇게 하면 이와 같은 알려진 위협으로부터 보호할 수 있습니다.
또한 신뢰할 수 있는 바이러스 백신 소프트웨어를 사용하여 컴퓨터 시스템에서 의심스러운 활동이나 악성 소프트웨어를 검색하십시오. 마지막으로 피싱 시도에 주의하십시오. Kovter와 같은 맬웨어가 포함되어 있을 수 있으므로 출처를 알 수 없는 링크를 클릭하거나 첨부 파일을 열지 마십시오.
PC 청소 및 최적화 외에도 BoostSpeed는 개인 정보를 보호하고, 하드웨어 문제를 진단하고, 속도 향상을 위한 팁을 제공하고, 대부분의 PC 유지 관리 및 서비스 요구 사항을 충족하는 20개 이상의 도구를 제공합니다.
마무리
Microsoft의 'Patch Tuesday' 업데이트는 지속적으로 새로운 제로데이 취약점을 발견하고 패치합니다. Apple은 또한 연구원들이 일반 문서 파일로 위장한 맬웨어를 사용하여 GateKeeper, 파일 검역 및 공증 보안 메커니즘을 우회하는 방법을 발견한 후 올해 초 macOS 패치를 서둘렀습니다.
Apple은 또한 NSO Group의 Pegasus 스파이웨어로 인한 취약점과 같은 보안 문제를 해결하기 위해 9월 주요 제품 출시 하루 전에 네 가지 운영 체제 모두의 새 버전을 출시했습니다.
FiveSys의 발견은 악성 소프트웨어가 합법적이지만 위조된 것처럼 보이는 디지털 인증서를 사용하여 탐지되지 않고 우리의 보안 프로토콜을 통과할 때 우리가 얼마나 취약한지에 대한 관심을 불러일으켰습니다. 적극적인 조치를 취하면 이러한 공격으로부터 우리를 보호하는 데 도움이 됩니다. 시스템을 최신 패치로 업데이트하고 신뢰할 수 있는 바이러스 백신 소프트웨어를 사용하고 피싱 시도를 인식하면 FiveSys와 같은 루트킷과 같은 악성 프로그램으로부터 자신을 보호하는 데 큰 도움이 될 수 있습니다.