Language
나는 내 운전자가 좋지 않은 일을 하고 있음을 엄숙히 맹세합니다: 증명 서명된 악성 코드 찾기

블로그

홈페이지홈페이지 / 블로그 / 나는 내 운전자가 좋지 않은 일을 하고 있음을 엄숙히 맹세합니다: 증명 서명된 악성 코드 찾기
search

Jun 08, 2023

트윈 아웃보드가 있는 10베이 보트

Jun 09, 2023

2023년 최고의 런어바웃 보트 13개

Sep 01, 2023

15개 선별됨

Jun 29, 2023

나트랑 충돌로 1명 사망, 1명 부상

Jun 12, 2023

2023 Godfrey XP 2700 W 트윈 보트 테스트, 가격, 사양

문의 보내기
제출하다

Jul 14, 2023

나는 내 운전자가 좋지 않은 일을 하고 있음을 엄숙히 맹세합니다: 증명 서명된 악성 코드 찾기

최근 사고 대응 조사 중에 Mandiant는 Windows 시스템에서 특정 프로세스를 종료하는 데 사용되는 악성 드라이버를 발견했습니다. 이 경우 드라이버는 다음을 시도하는 데 사용되었습니다.

최근 사고 대응 조사 중에 Mandiant는 Windows 시스템에서 특정 프로세스를 종료하는 데 사용되는 악성 드라이버를 발견했습니다. 이 경우 드라이버는 엔드포인트에서 EDR(엔드포인트 감지 및 응답) 에이전트를 종료하려는 시도에 사용되었습니다. Mandiant는 악성 드라이버와 해당 로더를 각각 POORTRY 및 STONESTOP으로 추적합니다. 초기 발견 직후 Mandiant는 Microsoft Windows 하드웨어 호환성 Authenticode 서명으로 서명된 POORTRY 드라이버 샘플을 관찰했습니다. 드라이버의 Authenticode 메타데이터를 주의 깊게 분석한 결과 Windows 하드웨어 호환성 프로그램을 통해 서명된 악성 드라이버에 대한 대규모 조사가 이루어졌습니다. 조사 결과 더 광범위한 문제가 발견되었습니다.

이 연구는 SentinelOne 동료들의 블로그 게시물과 함께 발표되고 있습니다.

관계는 신뢰를 바탕으로 구축됩니다. 매일 컴퓨터를 사용할 때 사용하는 소프트웨어와의 관계도 마찬가지입니다. 나는 이 프로그램의 실행을 신뢰합니까? 그리고 그 이유는 무엇입니까? 소프트웨어는 최종 사용자에게 매우 불투명할 수 있습니다. X 회사의 제품이라고 주장하는 경우 소프트웨어의 신뢰성을 확인하기 위해 어떤 메커니즘이 존재합니까?

[큐 존 시나 파업 음악.]

코드 서명이 링에 들어갔습니다.

코드 서명은 특정 파일의 무결성과 신뢰성을 보장하는 수단입니다. 소프트웨어 공급업체는 CA/브라우저 포럼 및 CA 보안 위원회에서 정한 표준을 준수하는 신뢰할 수 있는 CA(인증 기관)로부터 코드 서명에 사용되는 인증서를 얻습니다. 이러한 지침에는 회사의 법적 존재 및 신원 확인, 인증서 요청자가 자신이 대표한다고 주장하는 소프트웨어 공급업체를 대신하여 행동할 권한이 있는지 확인하는 등의 요구 사항이 자세히 설명되어 있습니다.

그런 다음 이 인증서는 소프트웨어에 서명하고 소프트웨어와 운영 체제 간의 신뢰 수준을 제공하는 데 사용됩니다. 코드 서명 적용 정책은 서명된 코드만 실행하도록 허용하는 것부터 서명된 코드 실행에 대한 보안 경고를 최소화하는 것, 순수하게 애플리케이션의 신뢰성을 나타내는 디지털 서명 역할을 하는 것까지 운영 체제 및 파일 유형에 따라 다릅니다.

Windows 바이너리에 대한 Microsoft의 코드 서명 구현을 Authenticode라고 합니다. Authenticode에는 드라이버 및 드라이버 패키지와 관련된 여러 기능이 있으며 하드웨어 공급업체가 Windows 하드웨어 호환성 프로그램을 통해 드라이버를 올바르게 서명하도록 지원합니다.

“Windows 하드웨어 호환성 프로그램은 귀하의 회사가 Windows와 호환되고 Windows 10, Windows 11 및 Windows Server 2022에서 안정적으로 실행되는 시스템, 소프트웨어 및 하드웨어 제품을 제공할 수 있도록 설계되었습니다. 또한 이 프로그램은 드라이버 개발, 테스트 및 배포에 대한 지침도 제공합니다. . Windows 하드웨어 개발자 센터 대시보드를 사용하면 제출물을 관리하고, 장치 또는 앱의 성능을 추적하고, 원격 측정을 검토하는 등 다양한 작업을 수행할 수 있습니다.”

Windows 하드웨어 호환성 프로그램 프로세스를 진행하는 데는 여러 단계가 있습니다.

Windows 10 이상에서의 작동성을 위해 드라이버를 Microsoft에 제출할 수 있습니다.증명 서명.

이 증명 서명 프로세스에서는 디지털 서명을 사용하여 제출된 드라이버 패키지의 무결성을 확인하고 드라이버 패키지를 제공한 소프트웨어 게시자의 신원을 확인합니다. 이 프로세스에서는 제출 조직이 EV(확장 유효성 검사) 인증서를 사용하여 드라이버 패키지에 서명해야 합니다. 이 인증서는 다른 코드 서명 인증서보다 향상된 식별 요구 사항을 가지며 더 강력한 암호화 알고리즘을 사용해야 합니다. 이러한 EV 인증서는 강화된 감사 요구 사항에 동의한 소규모 인증 기관에서 제공됩니다.

추가 단계로 공급업체는 HLK(Hardware Lab Kit) 테스트를 위해 드라이버를 제출하여 Windows 인증을 받을 수 있습니다. 드라이버가 증명 서명을 받으면 Windows 인증이 아닙니다. Microsoft의 증명 서명은 Windows에서 드라이버를 신뢰할 수 있음을 나타내지만 드라이버가 HLK Studio에서 테스트되지 않았기 때문에 호환성, 기능 등에 대한 보장은 없습니다.

3 and/p>