인증서 검증 우회를 통한 Legacy Driver Exploitation 공격 사례

개요

 

• 보안 업체 CheckPoint-Research(CPR) : Legacy Driver Exploitation 기법을 사용하는 보안 위협 발표 
• Legacy Driver Exploitation : Gh0stRAT 악성코드를 통해 감염된 시스템을 원격으로 제어하고 추가적인 피해 발생 
• 공격자
  • 유포 경로 : 피싱 사이트와 메시징 앱 사용
  • DLL 사이드로딩 기법을 사용해 추가 페이로드 로드 
  • 변조된 TrueSight.sys 드라이버 사용하여 Microsoft 드라이버 차단 시스템 우회 
  • 정상적인 보안 프로세스인 AntiVirus, EDR (Endpoint Detection and Response) 시스템 강제 종료 

참고 : https://research.checkpoint.com/2025/large-scale-exploitation-of-legacy-driver/

DLL 사이드로딩 

• 합법적인 프로그램이 악성 DLL을 로드하게 만드는 공격 기법 
• 특정 exe가 실행될 때 같은 디렉토리에 있는 DLL을 우선 로드하는 취약점을 악용한다. 
• 공격자는 합법적인 프로그램(exe)과 악성 DLL을 같은 폴더에 두고, exe를 실행하면 exe가 악성 dll을 불러오면서 악성코드가 실행된다. 

 

TrueSight.sys 드라이버 

• 특정 악성코드나 공격자가 사용하는 루트킷 커널 드라이브
• 용도 : EDR, 백신에서 보호하는 프로세스나 파일을 숨기거나, 보안 솔루션 탐지를 우회할 때 사용된다. 

 

AntiVirus, EDR 시스템 

• AntiVirus (AV) : 악성코드 탐지 및 제거하는 보안 솔루션. 주로 시그니처 기반 탐지에 강점이 있다. 
• EDR(EndPoint Detection and Response) : 행위 기반 탐지, 위협 헌팅, 포렌식까지 수행하는 솔루션 . 악성 행위를 모니터링하면서 실시간으로 위협을 탐지하고 대응할 수 있다. 

 

공격 기법 

 

핵심 : TrueSight.sys 드라이버의 취약점 악용 

TrueSight.sys

• Adlice Software에서 개발한 악성코드 제거 도구 RogueKiller Antirootkit의 드라이버 모듈 → Rootkit 탐지 및 제거 기능 제공 
• TrueSight.sys 3.4.0 이하 버전 : 임의 프로세스 종료시킬 수 있는 취약점 존재 →  공격자 : AVKiller 도구로 해당 파일 사용
• Microsoft사에서 해당 취약점이 존재하는 모든 버전의 TrueSight.sys 드라이버를 취약 드라이버 차단 목록 (Microsoft Vulnerable Driver Blocklist)에 등록하였으나 TrueSight 2.0.2.0 버전은 예외적으로 차단 목록을 우회할 수 있었음 

→ TrueSight 2.0.2.0 버전을 가진 다수의 파일을 생성하기 위해 인증서 영역 변조 기법 사용 

AVKiller

• 백신 및 EDR 무력화 도구를 통칭한다. 
• 용도 : 백신 프로세스를 종료하거나 EDR 우회할 때 사용 
• 일부 공격 도구는 프로세스 강제 종료, 서비스 비활성화, 드라이버 삭제 같은 기능을 가지고 있어서 백신이나 EDR을 비활성화할 수 있다. 

 

인증서 검증 우회 기법

 

TrueSight.sys 변형 파일 → WIN_CERTIFICATE 구조체의 패딩 영역을 임의로 변조 

* WIN_CERTIFICATE : 파일의 디지털 서명에 포함되며 파일이 변조되지 않았음을 보증하는 역할 

1. 공격자 : Windows의 인증서 검증 시 구조체 내의 패딩 영역을 사용하지 않는다는 점을 악용 → 실제로는 변조된 파일이지만 정상적인 서명이 있는 것처럼 만듦 
2. 결과 : 패딩 영역이 변조된 파일이 정상적인 서명이 포함된 것처럼 인식되며, WinVerifyTrust를 통한 인증서 검증을 우회하는 데 성공함 

WinVerifyTrust

• Windows에서 파일 (특히 실행 파일)의 디지털 서명 유효성 검사를 수행하는 API
• 이 함수가 호출되면 해당 파일의 서명이 신뢰할 수 있는 CA (인증기관)에 의해 서명되었는지 확인한다. 
• 악용 : 우회하거나 서명된 합법적인 파일처럼 보이게 해서 보안 솔루션을 속이는 데 활용된다. 

 

(1) WIN_CERTIFICATE 위치 확인 

• PE 파일 Certificate Table (Security Directory) 항목을 통해 위치 참조 

(2) WIN_CERTIFICATE 영역의 Padding 조작 → 서명 검증에는 영향을 주지 않도록 유지 

(3) 인증서 검증 우회 → 파일 해시값은 달라졌지만 서명 인증서는 유효함 

 

연관 취약점 

 

CVE-2013-3900

• 인증서 테이블의 크기를 임의로 변경하고 헤더 정보를 변조할 경우 인증서 검증을 우회할 수 있음 
• 인증서 검증을 우회하면서 파일 끝에 악성 데이터 추가 

 

Microsoft

• 인증서를 엄격하게 검증하는 보안 옵션을 사용자 선택에 맡김 
• 사용자가 다음의 레지스트리 키 설정을 적용할 경우 인증서 검증을 강화할 수 있다. 

32bit	[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”1”
64bit	[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”1”
	[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”1”

 

결과 정리 

 

• Legacy Driver Exploitation : 시스템 보안을 무력화하고 악성코드를 유포함 
• 공격자 : 취약한 드라이버를 악용하고 Microsoft의 드라이버 차단 시스템을 우회하는 방법(TrueSight.sys)을 통해 시스템에 침투 
  • TrusSightl.sys가 백신 및 EDR의 프로세스를 종료하거나 탐지를 우회하는 등 AVKiller역할을 수행한다. 
  • WinVerifyTrust를 무력화하고 서명된 정상 프로그램으로 위장하여 탐지를 회피한다. 
• Microsoft : Vulnerable Driver Blocklist를 통해 공격 차단 

 

참고 : https://asec.ahnlab.com/ko/86843/