맨디언트, MS 서명된 멀웨어 발견
상태바
맨디언트, MS 서명된 멀웨어 발견
  • 곽중희 기자
  • 승인 2022.12.16 14:14
  • 댓글 0
이 기사를 공유합니다

마이크로소프트(MS)가 MS 서명이 된 멀웨어와 이를 해결하기 위해 취한 조치에 대한 참고 자료를 발표했다.

이와 관련해 맨디언트는 센티넬원(SentinelOne)과 협력해 조사를 진행한 후 결과를 공개했다.

조사 결과, 맨디언트는 최근 침해 사고 대응(Incident Response, IR) 과정에서 MS가 서명한 멀웨어 드라이브가 피해 조직 컴퓨터의 엔드포인트 탐지 및 대응(Endpoint Detection and Response; EDR) 에이전트 종료에 사용된 것을 확인했다.

MS 서명 멀웨어 관련 맨디언트 조사의 주요 내용은 다음과 같다.

‘인증 서명(attestation signing)’으로 알려져 있는 과정에서 여러 공격자와 관련된 다수의 서로 다른 멀웨어 계열의 서명이 이뤄졌다.

인증 서명은 기본적으로 윈도우10에서 MS가 해당 드라이버가 신뢰한다는 것을 알려주는데 이로 인해 사용자가 설치하려는 드라이버는 훨씬 더 높은 수준의 ‘보증’을 받게 된다.

이는 새로운 전술은 아니지만 맨디언트가 이 방법을 사용하는 표적 공격자를 확인한 것은 이번이 처음이다. 맨디언트는 이 배후에는 공격자들의 멀웨어 서명을 돕는 멀웨어 서명 서비스 그룹이 있다고 추측하고 있다.

그 배경으로, 서명된 멀웨어를 배포한 UNC3944 그룹은 적어도 2022년 5월부터 활동한 금전적 목적의 공격 집단이다.

맨디언트는 “MS 서명 멀웨어 공격을 방어하고자 하는 조직은 마이크로소프트 참고 자료 외에도 맨디언트 보고서의 추적 및 차단(Hunting and Blocking) 섹션을 참고하면 도움이 된다”고 말했다. 
 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.