ClickCease 서명된 Windows 커널 드라이버를 악용하는 BlackCat 랜섬웨어

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

서명된 Windows 커널 드라이버를 악용하는 BlackCat 랜섬웨어

2023년 6월 12일 TuxCare 홍보팀

트렌드마이크로가 ALPHV/BlackCat 바이러스를 이용한 랜섬웨어 공격에 대한 세부 정보를 공개했습니다. 이 공격은 서명된 악성 Windows 커널 드라이버를 사용하는 정교한 기술을 사용하여 공격자가 탐지를 회피하고 악성 코드를 실행할 수 있도록 했습니다.

공격의 배후에 있는 공격자들은 2022년 12월 맨디언트, 소포스, 센티넬 원에 의해 이전에 확인된 업그레이드된 버전의 멀웨어를 사용했습니다. 공격자들은 표적 시스템에 침투하기 위해 Microsoft 서명 게이트웨이를 사용하여 서명된 ktgn.sys라는 잘 알려진 드라이버를 악용하려고 시도했습니다. 이를 통해 운영 체제에 대한 높은 수준의 액세스 권한을 확보하여 방어 제품 작동을 효과적으로 무력화할 수 있었습니다.

인증서가 취소되었음에도 불구하고 서명된 ktgn.sys 드라이버는 64비트 Windows 컴퓨터에서 계속 실행되었습니다. 이 드라이버는 아무런 장벽 없이 실행될 수 있었기 때문에 표적이 된 시스템에 큰 위험을 초래했습니다. 또한 커널 드라이버에는 IOCTL 인터페이스가 있어 악성 tjr.exe 사용자 에이전트가 커널 권한으로 명령을 내릴 수 있었습니다. 보안을 위해 tjr.exe 사용자 에이전트는 가상 머신 내에서 실행되고 "ktgn"으로 지정된 드라이버를 사용자의 임시 디렉터리에 설치했습니다. 드라이버는 '시스템'으로 실행되도록 설정되어 시스템 재시작 시 실행되도록 했습니다.

이 악성 드라이버는 Safengine Protector v2.4.0.0을 사용하여 코드를 난독화하여 분석 및 탐지 작업을 더욱 복잡하게 만들었습니다. 이로 인해 드라이버를 분석하고 탐지하는 기존의 방법이 어려워졌습니다. 맨디언트의 조사에 따르면, 이 드라이버의 업그레이드 버전이 사용된 것은 랜섬웨어 조직과 이전에 동일한 드라이버의 전구체를 공격에 사용한 적이 있는 UNC3944/Scattered Spider 조직 간의 연관성을 보여주기도 했습니다.

그러나 연구원들은 이 드라이버가 아직 개발 및 테스트 단계에 있으며, 구조가 잘못되어 있고 주요 기능이 아직 작동하지 않는 것을 관찰했습니다. 이러한 제한에도 불구하고 토트는 여전히 Windows 운영 체제에 대한 높은 권한으로 액세스하고 엔드포인트 보호 플랫폼(EPP)과 엔드포인트 탐지 및 대응(EDR) 시스템을 우회하는 위협을 계속 진행하고 있습니다.

연구에 따르면 보안 솔루션이 향상된 보호 계층을 제공하기 때문에 공격자는 일반적으로 악성 코드의 효과적인 실행을 보장하기 위해 커널 계층 또는 하위 계층을 악용하는 것으로 전환합니다. 따라서 루트킷 및 관련 공격은 가까운 미래에 위협 행위자의 툴킷에서 중요한 구성 요소가 될 것으로 예상됩니다.

이 글의 출처는 SecurityAffairs의 기사입니다.

요약
서명된 Windows 커널 드라이버를 악용하는 BlackCat 랜섬웨어
기사 이름
서명된 Windows 커널 드라이버를 악용하는 BlackCat 랜섬웨어
설명
트렌드마이크로는 서명된 악성 Windows 커널 드라이버를 사용하여 ALPHV/BlackCat 바이러스를 이용한 랜섬웨어 공격을 발견했습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기