코드 서명 악성 코드란 무엇이며 이를 방지하는 방법은 무엇입니까?

코드 서명은 운영 체제와 사용자가 소프트웨어의 안전성을 확인할 수 있도록 소프트웨어에 대한 인증서 기반 디지털 서명을 사용하는 방법입니다. 올바른 소프트웨어만이 해당 디지털 서명을 사용할 수 있습니다.

사용자는 안전하게 소프트웨어를 다운로드하고 설치할 수 있으며 개발자는 코드 서명을 통해 제품의 평판을 보호합니다. 그러나 해커와 맬웨어 배포자는 바이러스 백신 제품군 과 기타 보안 프로그램을 통해 악성 코드를 얻기 위해 바로 그 시스템을 사용하고 있습니다 . 그렇다면 코드 서명 악성 코드는 무엇이며 어떻게 작동합니까?

• Windows 10 컴퓨터에서 악성 소프트웨어(맬웨어)를 완전히 제거합니다.
• 은행 계좌에 가장 위험한 악성코드 유형 10가지
• 다형성 및 초다형성 악성코드에 대해 알아보기

코드 서명 악성코드란 무엇입니까?

소프트웨어에 디지털 서명이 있으면 공식적인 디지털 서명이 있다는 의미입니다. 인증 기관은 소프트웨어가 합법적이고 사용하기에 안전한지 확인하기 위해 소프트웨어에 인증서를 발급합니다.

운영 체제가 인증서를 확인하고 디지털 서명을 확인하므로 사용자는 걱정할 필요가 없습니다. 예를 들어 Windows는 소프트웨어가 합법적인지 확인하는 데 필요한 모든 인증서가 포함된 인증서 체인을 사용합니다.

인증서 체인에는 최종 인증서로 식별된 엔터티를 인증하는 데 필요한 모든 인증서가 포함되어 있습니다. 실제로 이는 체인의 모든 당사자가 신뢰하는 터미널 인증서, 중간 CA 인증서 및 루트 CA 인증서로 구성됩니다. 체인의 각 중간 CA 인증서에는 한 수준 위의 CA에서 발급한 인증서가 포함되어 있습니다. 루트 CA는 자체적으로 인증서를 발급합니다.

시스템이 가동되고 실행되면 소프트웨어, 코드 서명 시스템 및 CA를 신뢰할 수 있습니다. 악성 소프트웨어는 신뢰할 수 없으며 인증 기관이나 코드 서명에 액세스할 수 없는 악성 소프트웨어입니다.

해커가 인증 기관의 인증서를 훔칩니다.

바이러스 백신 소프트웨어는 맬웨어가 시스템에 부정적인 영향을 미치기 때문에 악성 코드임을 알고 있습니다. 이는 경고를 발생시키고, 사용자는 문제를 보고하며, 바이러스 백신 소프트웨어는 동일한 바이러스 백신 엔진을 사용하여 다른 컴퓨터를 보호하기 위해 맬웨어 서명을 생성할 수 있습니다.

그러나 악성 코드 제작자가 공식 디지털 서명을 사용하여 악성 코드에 서명할 수 있다면 위의 프로세스는 발생하지 않습니다. 대신 바이러스 백신 소프트웨어와 운영 체제가 위험한 것을 감지하지 못하기 때문에 코드로 표시된 악성 코드는 공식 경로를 통해 시스템에 들어갈 수 있습니다.

Trend Micro 연구에 따르면 전체 맬웨어 시장은 코드 서명 맬웨어의 개발 및 배포를 지원하는 데 중점을 두고 있습니다. 악성 코드 운영자는 악성 코드 서명에 사용되는 유효한 인증서에 액세스할 수 있습니다. 아래 표는 2018년 4월 이후 바이러스 백신 소프트웨어를 회피하기 위해 코드 서명을 사용하는 악성 코드의 양을 보여줍니다.

Trend Micro의 연구에 따르면 악성 코드의 약 66%에 디지털 서명이 있는 것으로 나타났습니다. 또한 트로이 목마 , 드로퍼, 랜섬웨어 등 여러 버전의 디지털 서명이 있는 특정 유형의 맬웨어 도 있습니다 .

코드 서명 디지털 인증서는 어디에서 제공되나요?

맬웨어 배포자와 개발자는 코드 서명된 맬웨어를 생성하는 두 가지 방법을 가지고 있습니다. 이들은 직접 인증 기관의 인증서를 훔치거나, 합법적인 조직을 획득하거나 가장하여 CA에 인증서를 요청하는 방식으로 인증서를 훔칩니다.

보시다시피 CA는 해커의 표적이 되는 유일한 장소가 아닙니다. 합법적인 인증서에 액세스할 수 있는 배포자는 신뢰할 수 있는 디지털 서명 인증서를 맬웨어 개발자 및 배포자에게 판매할 수 있습니다.

체코 마사리크 대학과 메릴랜드 사이버 보안 센터의 보안 연구팀은 익명의 구매자에게 Microsoft Authenticode 인증서를 판매하는 조직 4곳을 발견했습니다. 맬웨어 개발자가 Microsoft Authenticode 인증서를 갖고 나면 코드 서명 및 인증서 기반 보호를 통해 가능한 모든 맬웨어에 서명할 수 있습니다.

어떤 경우에는 해커가 인증서를 훔치는 대신 소프트웨어 빌드 서버에 침투합니다. 새로운 소프트웨어 버전이 출시되면 합법적인 인증서가 제공되며 해커는 이 프로세스를 이용하여 악성 코드를 추가합니다.

코드 서명된 악성 코드의 예

그렇다면 코드 서명 악성코드는 어떤 모습일까요? 다음은 이러한 유형의 악성 코드에 대한 세 가지 예입니다.

• Stuxnet 악성 코드 : 이 악성 코드는 도난당한 인증서 2개와 제로 데이 취약점 4개를 사용하여 이란의 핵 프로그램을 파괴했습니다. 이 인증서는 JMicron과 Realtek 두 회사에서 도난당했습니다. Stuxnet은 모든 드라이버에 확인이 필요하다는 Windows의 새로운 도입 요구 사항을 피하기 위해 훔친 인증서를 사용했습니다.
• Asus 서버 침해: 2018년 6월부터 11월 사이에 해커는 기업이 사용자에게 소프트웨어 업데이트를 푸시하는 데 사용하는 Asus 서버에 침투했습니다. Kaspersky Lab의 연구에 따르면 약 50만 대의 Windows 장치가 탐지되기 전에 이 악성 업데이트를 받은 것으로 나타났습니다. 인증서를 훔치지 않고 이러한 해커는 소프트웨어 서버가 시스템 업데이트를 배포하기 전에 악성 코드에 대한 합법적인 Asus 디지털 인증서에 서명합니다.
• Flame 악성코드: 중동 국가를 표적으로 삼는 Flame 모듈 악성코드의 변종으로, 탐지를 피하기 위해 허위로 서명된 인증서를 사용합니다. Flame 개발자는 취약한 암호화 알고리즘을 사용하여 코드 서명 디지털 인증서를 위조하여 Microsoft가 서명한 것처럼 보이게 했습니다. 파괴적인 목적으로 만들어진 Stuxnet과 달리 Flame은 PDF 파일, AutoCAD 파일, 텍스트 파일 및 기타 중요한 산업 문서를 검색하는 스파이 도구입니다.

코드 서명된 악성 코드를 방지하는 방법은 무엇입니까?

이러한 유형의 맬웨어는 바이러스 백신 소프트웨어 및 시스템의 탐지를 피하기 위해 코드 서명을 사용하므로 코드 서명 맬웨어로부터 보호하는 것은 매우 어렵습니다. 항상 바이러스 백신 소프트웨어와 시스템을 업데이트하는 것이 중요합니다. 알 수 없는 링크를 클릭하지 말고 링크를 따라가기 전에 링크의 출처를 주의 깊게 확인하세요 . 맬웨어로 인한 위험 및 이를 방지하는 방법 문서를 참조하세요 .