Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

URL 링크 : http://www.zdnet.co.kr/view/?no=20190124114733 

바이러스토털 "윈도 코드서명 검증기능 회피 공격 가능"


imc_Ws9COde12vhy6PUa.jpg

윈도10 최신버전에서도 확인된 MSI 코드서명 검증기능 허점을 이용하면 공격자가 보안솔루션 탐지를 회피해 JAR 패키지 파일로 악성코드를 유포해 직접 일반 이용자를 감염시킬 수 있는 문제를 설명한 바이러스토털 공식블로그 포스팅.



마이크로소프트(MS)와 구글이 윈도 소프트웨어(SW) 설치파일과 자바 런타임 배포파일 형식을 악용한 공격 위협에 함께 대응한 흥미로운 사례가 공개됐다. 구글 지주회사 '알파벳' 계열 신생 사이버보안업체인 크로니클 측에서 밝힌 내용이다.


크로니클의 맬웨어인텔리전스 서비스 부문인 '바이러스토털(VirusTotal)' 공식블로그에 올초 게재된 내용에 따르면 이들은 작년말 새로운 보안위협 방지를 위해 MS와 협력했다. [원문보기  Distribution of malicious JAR appended to MSI files signed by third parties] 


새로운 위협은 근본적으로 MS의 윈도 운영체제(OS)에서 윈도인스톨러(Windows Installer) 포맷, 즉 윈도 프로그램 설치파일 확장자(.msi)를 쓰는 파일의 처리동작이 악용될 때 발생할 수 있다.


msi 포맷에 담긴 내용은 파일 끝에 덧붙는 SW개발자의 전자서명을 통해 무결성 검증을 받는다. MS는 이를 위해 '오센티코드(Authenticode)'라는 전자서명 포맷을 지원하고 있다. MS 윈도 OS가 서명된 파일을 믿을만한지 판정할 때 필요한 기술이다. 


바이러스토털 창업자 베르나르도 킨테로는 "이 (오센티코드) 동작은 MS 윈도 코드서명(code signing)이 어떤 파일을 믿을지 결정할 때 의존하는 일부 보안솔루션을 공격자가 우회하려할 때 악용될 수 있다"고 지적했다. 


그는 특히 msi 포맷에 첨부된 SW개발자의 코드서명이 악의적으로 만들어진 자바 패키지 파일 확장자(.jar)로 처리될 때 특히 위험하다고 강조했다. OS가 유효하다고 판정한 서명을 지닌 파일 속의 맬웨어가 자바 런타임 동작 특성에 따라 직접 실행될 수 있다는 이유에서다. 


킨테로가 지적한 보안위협 시나리오는 최신버전인 윈도10 1809 업데이트 및 자바 SE 런타임환경 8 업데이트 191 환경에서도 유효한 것으로 확인됐다. MS는 현단계의 최신 윈도OS 환경에선 이 문제를 해결하지 않기로 결정한 상태다. 


■ 윈도OS의 윈도인스톨러 파일 포맷 코드서명 무결성 검증절차에 허점 존재


코드서명은 실행파일이나 스크립트에 인증서 기반 전자서명을 사용하는 방법이다. 그 파일 작성자의 신원을 검증함으로써 해당 코드가 작성자 서명을 받은 이래로 위변조되지 않았음을 보장하는 수단이다.


킨테로는 "서명된 (.exe 확장자를 쓰는) 윈도PE 파일의 내용을 바꾸거나 어떤 데이터를 덧보태거나 하면 해당 서명은 윈도 OS에 그 파일이 유효하지 않다는 결과를 제시할 것으로 예상된다"며, 반면 msi 확장자를 쓰는 윈도인스톨러 파일에선 다르게 동작한다고 지적했다. 


그에 따르면 서명된 msi 파일 끝에 어떤 데이터든 덧붙이더라도 윈도의 코드서명 검증절차는 파일을 통과시켜버린다. 그저 원래 전자서명이 유효하다고만 표시하며 다른 어떤 경고도 내지 않는다. 이 동작은 msi 파일에 악성코드를 숨겨 배포하는 데 악용될 수 있다. 


기업이나 개인에서 사용하는, 다양한 보안솔루션이 윈도의 코드서명 검증 기능에 의존한다. 윈도의 검증상 문제는 이런 보안솔루션이 유명하고 믿을만한 SW개발자의 유효한 서명을 갖춘 파일에 설령 악성코드가 숨어 있어도 그걸 심층 조사하지 않고 간과하도록 방치한다. 


윈도의 코드서명 검증 단계에 무시될 수 있는 msi 파일의 무결성 문제가 jar 파일과 결합되면 더 큰 위협으로 이어진다. 


■ 윈도OS 자바애플리케이션 구동 위한 자바런타임환경의 jar 파일 처리방식


jar 파일은 자바 기반으로 개발된 애플리케이션을 효율적으로 배포하기 위해 만들어진 포맷이다. 그 내용은 자바 클래스와 관련 리소스를 포함한다. 이 파일을 실행하면 OS에 설치된 자바 런타임이 단일 요청(signle request)으로 전체 애플리케이션을 배포할 수 있다. 


그런데 jar 파일에서 구성요소와 리소스를 저장하는 방식은 대중적인 압축 포맷인 zip 형식에 기반한다. 여기에 쓰이는 zip 포맷 유형은 파일 끝에 위치한 중앙 디렉토리 레코드(central directory record)의 끝부분에서 식별된다. 


하필이면 jar 파일이 리소스를 파일 말미에 기록되는 중앙 디렉토리 레코드의 끝부분 내용으로 식별하는 이유는 자바 애플리케이션 패키지에 새로운 파일을 쉽게 추가할 수 있도록 허용하기 위해서다. jar 파일을 열면, 자바 런타임은 그 앞이 아니라 끝부분을 먼저 살핀다. 


킨테로는 "따라서 jar 파일은 그 파일 시작지점에 있는 데이터와 독립적으로 실행되고, MS 윈도 시스템에선 자바런타임환경 설치 프로그램이 jar 파일을 기본 연결 대상으로 등록해, jar 파일을 더블클릭하면 자동으로 'javaw -jar' 명령을 실행한다"고 설명했다. 


더블클릭된 jar 파일은 그 패키지 실행에 이어 자동으로 애플리케이션이 의존하는 확장기능을 함께 불러들인다. 이 기능은 윈도 OS에서 최종 사용자 런타임을 더 쉽게 사용할 수 있게 해준다.


■ 악의적인 jar 파일, 코드서명 검증 우회하는 msi 파일에 추가될 수 있다


하지만 이 이런 동작 특성때문에 공격자는 msi 파일에 악의적인 jar 파일을 담아 배포하는 시나리오를 시도할 수 있게 된다. MS나 구글이나 다른 유명한, 믿을만한 SW개발업체의 유효한 서명을 지닌 msi 파일이 실제로는 악성코드 배포수단이 될 수 있다는 얘기다. 


킨테로는 "공격자는 믿을만한 SW개발자가 서명한 msi 파일에, 예를 들어 'copy /b signed.msi + malicious.jar signed_malicious.jar' 명령을 통해, 악의적 jar 파일을 추가하고 결과 파일 확장자를 jar로 바꿀 수 있다"며 "이 파일을 더블클릭하기만 하면 감염될 수 있다"고 경고했다.


이어 "이 공격 수법은 바이러스토털에 전달된 샘플을 통해 탐지됐고 '바이러스토털 모니터'라는 오탐 회피 서비스에 등재됐다"면서 "이 기법이 맬웨어 배포를 위해 광범위하게 사용됐다는 증거를 찾지는 못했다"고 밝혔다. 


MS 측은 바이러스토털로부터 이런 문제를 제보받고 대응에 나섰다. 윈도 기반 시스템관리자용 툴을 제공하는 시스인터널스(Sysinternals) 웹사이트의 코드서명 검증도구 'Sigcheck'를 지난해 10월 2.70 버전으로 업데이트하면서다. [Sigcheck 배포 사이트 바로가기] 



http://www.zdnet.co.kr/view/?no=20190124114733

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

비오는거리

2019.01.25 17:39
가입일: 2018:12.20
총 게시물수: 5
총 댓글수: 321

유용한 정보 감사합니다~!

profile

산산

2019.01.28 12:01
가입일: 2019:01.12
총 게시물수: 0
총 댓글수: 24

요즘은 헛점 찾고 오류 찾는게 보통이 아닌듯 합니다...

업데이트 잘해주는거 좋지만... 업데이트가 또 다른 오류는 만들지 않으면 좋겠는데요...

List of Articles

유용정보 Adobe Photoshop CC 2019 새로운 기능!Adobe Photoshop CC 2019 New Features!

Adobe Photoshop CC 2019 New Features!

  • 등록일: 2019-01-28

192

VIEWS

2

COMMENTED

일반정보 일본 인플루엔자 조심하세요

일본에서는 전체 213만명이 걸렸다네요 Link :https://news-pick.com/4389455/154859004984

  • 등록일: 2019-01-27

75

VIEWS

7

COMMENTED

IT정보 IBM, 최초로 상용 양자컴퓨터 출시 file

IBM Q 시스템 원(IBM 제공)© News1 (서울=뉴스1) 남도영 기자 = IBM이 '꿈의 컴퓨터'로 불리는 양자컴퓨터 상용화에 시동을 걸었다. IBM은 8일(현지시간) 미국 ...

  • 등록일: 2019-01-27

180

VIEWS

4

COMMENTED

IT정보 삼성전자, 인피니티-O 화면 들어간 '갤럭시A9프로' 출시.. 가격은 59만9500원

삼성전자가 인피니티-O(Infinity-O) 디스플레이를 탑재한 '갤럭시 A9 Pro (Galaxy A9 Pro)'를 출시한다. 삼성전자는 보도자료를 통해 갤럭시 스마트폰 최초로 인...

  • 등록일: 2019-01-26

461

VIEWS

6

COMMENTED

IT정보 AMD, 2021년 젠4 CPU에 삼성과 TSMC ‘5나노’ 공정 쓰나

AMD가 2021년쯤 선보일 예정인 ‘젠4(Zen4)’ 프로세서가 삼성전자와 TSMC의 차세대 5나노미터(㎚) 공정으로 제조될 것이라는 전망이 나왔다. AMD가 발표한 프로세...

  • 등록일: 2019-01-26

203

VIEWS

6

COMMENTED

윈도정보 마이크로소프트, 올해 12월 10일 윈도우10 모바일 업데이트 지원 종료 file

마이크로소프트, 올해 12월 10일 윈도우10 모바일 업데이트 지원 종료 마이크로소프트가 윈도우10 모바일 지원을 2019년 12월 10일 종료한다. 2017년 10월 마이크...

  • 등록일: 2019-01-25

317

VIEWS

9

COMMENTED

IT정보 갤럭시 S10/S10+ 디자인 완벽 유출 file

이날 공개된 사진에서 가장 시선을 사로잡은 것은 스마트폰 전면의 ‘홀 디스플레이’다. ‘인피니티-O 디스플레이’로 명명된 이 디스플레이는 스마트폰 전면을 모...

  • 등록일: 2019-01-25

324

VIEWS

13

COMMENTED

윈도정보 윈도우 10 1809, 16일부터 재배포 개시 file

윈도우 10 1809, 16일부터 재배포 개시 마이크로소프트가 윈도우 10 1809의 자동 업데이트를 지난 16일 다시 개시했다. 예정보다 3개월 늦어진 일정이다. 작년 10...

  • 등록일: 2019-01-25

454

VIEWS

9

COMMENTED

윈도정보 바이러스토털 "윈도 코드서명 검증기능 회피 공격 가능" file

바이러스토털 "윈도 코드서명 검증기능 회피 공격 가능" 윈도10 최신버전에서도 확인된 MSI 코드서명 검증기능 허점을 이용하면 공격자가 보안솔루션 탐지를 회피...

  • 등록일: 2019-01-25

125

VIEWS

2

COMMENTED

IT정보 차세대 크로스 오버 메모리 반도체 기술 도전

차세대 크로스 오버 메모리 반도체 기술’ 도전 KIST 스핀융합연구단 민병철 박사 에너지 먹지 않는 반도체에 도전한다 세계적으로 반도체 업계는 호황기를 누리고...

  • 등록일: 2019-01-25

41

VIEWS

유용정보 2018해커들이가장많이사용했던취약점 file

  • 등록일: 2019-01-25

133

VIEWS

1

COMMENTED

유용정보 새로운랜섬웨어등장 file

  • 등록일: 2019-01-25

188

VIEWS

10

COMMENTED

유용정보 이메일주소7억건유츨 file

  • 등록일: 2019-01-25

181

VIEWS

2

COMMENTED

일반정보 구글, GDPR 위반으로 프랑스서 5천만유로 벌금

구글, GDPR 위반으로 프랑스서 5천만유로 벌금 한화 약 642억원...GDPR 시행 이후 최대 규모 벌금 구글이 프랑스에서 ‘일반 개인정보보호법(GDPR)’ 위반으로 5천...

  • 등록일: 2019-01-24

189

VIEWS

7

COMMENTED

윈도정보 Windows 10, 1809의 누적 업데이트 파일(KB4476976) : 17763.x → 17763.292

오늘 1월달 누적 업데이트가 배포되었습니다.. (홍차의꿈님 배포)  누적 업데이트는 지금까지의 업데이트를 모두 포함하고 있는 업데이트 파일입니다.ㅎ 따라서, ...

  • 등록일: 2019-01-23

408

VIEWS

4

COMMENTED