2024-03-29 23:15 (금)
유출된 엔비디아 인증서, 윈도우 맬웨어에 이용될 수 있어
상태바
유출된 엔비디아 인증서, 윈도우 맬웨어에 이용될 수 있어
  • 페소아 기자
  • 승인 2022.03.08 11:59
이 기사를 공유합니다

범죄자들이 엔비디아(Nvidia) 내부 시스템에서 온라인으로 유출한 수많은 파일 중에 엔비디아 코드 서명 인증서가 있었다.

엔비디아에 의해 개발되지 않았지만 이번 주 도난당한 인증서로 서명되어, 엔비디아 프로그램으로 보이는, 적어도 두 개의 바이너리가 악성 프로그램 샘플 데이터베이스인 VirusTotal에 등장했다.

이 유출은 sysadmin이 단계를 수행하거나 보안 정책 및 방어를 검토하여 악성 인증서가 최근에 서명한 코드를 탐지하고 차단해야 함을 의미한다. 이 작업은 윈도우 구성, 네트워크 필터링 규칙 또는 조직을 감시하는 데 사용하는 모든 방법을 통해 수행할 수 있다.

더레지서터지에 따르면, 컴퓨터 보안 전문가는 인증서가 윈도우 커널 수준 드라이버 파일에 서명하는 데 사용될 수 있다는 경고 메시지를 트위터에 올렸다고 보도했다.

이후 트윗에서 그는 윈도우가 타임스탬프 없이 2015년 7월 29일 이전에 발급된 인증서로 서명된 드라이버를 허용할 것이라고 덧붙였다. 마이크로소프트의 윈도우 드라이버 서명 정책은 운영 체제가 "2015년 7월 29일 이전에 발급된 교차 서명 CA에 체인하는 최종 엔터티 인증서로 서명된" 드라이버를 실행할 것이라고 명시하여 이를 입증한다.

유출된 엔비디아 인증서는 2014년 만료되었다. 이 인증서로 서명된 코드는 인증서가 만료된 경우에도 올바른 조건으로 윈도우에서 수락된다. 또 다른 엔비디아 인증서는 마감일 이후 만료되었지만 유출되었다.

2014년 인증이 유출된 이후 윈도우가 서명한 모든 코드를 차단하기 위해 마이크로소프트에 어떤 조치를 취할지에 대해 대변인은 "우리는 이러한 새로운 클레임을 조사하고 있으며 고객을 보호하기 위해 필요한 조치를 취할 것이다"라고 답했다.

케빈 보몬트는 일부 사람들이 엔비디아의 비공개 2014 인증서로 자체 드라이버 코드에 서명하고 VirusTotal에 업로드하여 바이러스 백신 스캐너가 이를 수락하는지 확인하는 것을 발견했다고 트위터에 글을 올렸다.

이러한 드라이버를 허용하려는 움직임은 당시 새로운 윈도우 10 기능이 이전에 서명되지 않은 드라이버와 문제를 일으키는 것을 막기 위한 역호환성 노력이었다.

업로드된 샘플에서 바이러스토탈에 의해 테스트된 상당수의 바이러스 백신 스캐너가 악성 엔비디아 인증서에 의해 서명된 코드를 포착하고 있으므로 AV 엔진이 자동으로 차단할 수 있다.

자격 증명, 비밀 소스 코드, 문서를 포함한 많은 파일들 중에서 인증서를 훔치고 유출하기 위해 엔비디아의 내부 시스템을 위태롭게 한 공격자들은 스스로를 랩서스(Lapsus$)라고 부르며 엔비디아를 협박하여 GPU 펌웨어에서 암호 제한을 제거하려고 한다. 작년에, RTX 30 시리즈 그래픽 카드를 위해, 엔비디아는 Lite Hash Rate, 즉 줄여서 LHR이라고 불리는 기술을 그들의 드라이버에 도입했다.

LHR은 암호화폐 채굴을 마비시킨다. 엔비디아는 카드들의 암호화 성능을 이용하여 그래픽 처리 장치를 마이너들에게 덜 매력적으로 만들고자 했으며, 이론적으로 게이머들과 순수 해시 레이트보다는 그래픽 성능을 원하는 다른 게이머들이 더 많은 하드웨어를 사용할 수 있게 해주었다.

이 그룹의 텔레그램 페이지에 따르면, Lapsus$는 회사가 LHR을 제거하겠다고 약속하지 않을 경우 더 많은 내부 자료와 칩 청사진의 세부 사항을 공개하며 엔비디아를 위협하고 있다. 엔비디아가 그러한 협박에 굴복할 것이라는 것은 전적으로 믿을 수 없어 보인다. 이 조직은 또한 엔비디아가 Mac, Linux 및 Windows PC용 드라이버를 오픈 소스화하기를 원하고 있다.

‘Have I Be Ben Pwned’에 따르면, 유출된 데이터 내에 "7만개 이상의 직원 이메일 주소와 NTLM 암호 해시가 있으며, 그 중 다수는 이후에 해킹 커뮤니티 내에서 유출되어 유포되었다"고 한다.

엔비디아는 앞서 성명을 통해 "위협 행위자가 우리 시스템에서 직원 암호와 일부 엔비디아 독점 정보를 가져와서 온라인에 유출하기 시작했다는 것을 알고 있다. 우리 팀은 그 정보를 분석하기 위해 노력하고 있다." 라고 말했다. 이것은 아래 사건 대응 페이지를 관리하고 있다.

사건 대응 페이지: 클릭


[G-PRIVACY 2022 개최-보안교육7시간 이수]

◇행사명: 2022 공·공 금·융 기업 개인정보보호&정보보안 컨퍼런스(G-PRIVACY 2022 )

◇대상: 정부∙공공∙지자체∙교육기관∙금융기관∙의료기관∙일반기업 개인정보보호/정보보안 실무자(※학생, 프리랜서 그리고 현업 보안실무자가 아닌 분들은 참석대상이 아님을 미리 공지합니다.)

◇일시: 2022년 3월 29일 화요일 오전9시~오후5시

◇장소: 더케이호텔서울 2층 가야금홀

◇참가비: 무료

◇점심식사: 제공하지 않습니다.

◇주차: 1일 무료 주차권 지급

◇발표자료: 등록사이트에서 다운로드(3월 28일 오후 4시부터)

◇교육이수증: 공무원·일반기업 보안교육 7시간(CPPG, CISSP 등 자격증도 7시간 인정)※참석 후 설문을 제출해 주신 분에 한해 이수증을 보내드립니다.

◇등록마감: 2022년 3월 28일 오후 5시까지

◇전시회: 국내외 최신 개인정보보호 및 정보보안 솔루션 전시

◇문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

◇사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★