해커들이 6년 동안 Windows Smart App Control의 결함을 악용하고 있습니다

Elastic Security Labs의 사이버 보안 연구원들은 위협 행위자들이 보안 경고나 팝업 없이 초기 접근을 얻을 수 있도록 하는 Windows Smart App Control(SAC) 및 SmartScreen의 설계 결함을 발견했습니다.

모르는 분들을 위해, Microsoft(Defender) SmartScreen은 Windows 8에서 도입된 이후로 내장 OS 기능입니다.

이 기능은 피싱 또는 악성 웹사이트와 애플리케이션, 잠재적으로 악성 파일의 다운로드로부터 보호합니다. 이는 “웹의 마크”(MotW)가 있는 파일에서 실행되며 사용자가 클릭할 때 작동합니다.

Windows 11의 출시와 함께 Microsoft는 SmartScreen의 발전인 Smart App Control(SAC)을 도입했습니다.

SAC는 Microsoft의 앱 인텔리전스 서비스와 Windows의 코드 무결성 기능을 결합하여 사용자가 장치에서 실행되는 악성, 신뢰할 수 없는(서명되지 않은) 또는 잠재적으로 원치 않는 앱으로부터 보호합니다.

SAC가 활성화되면 Defender SmartScreen을 대체하고 비활성화한다는 점은 주목할 만합니다.

Microsoft는 또한 SmartScreen 및 Smart App Control의 파일 신뢰 수준을 쿼리하기 위한 문서화되지 않은 API를 공개하여 연구자들이 파일의 신뢰성을 표시하는 유틸리티를 개발할 수 있도록 합니다.

조사 보고서에서 Elastic Security Labs는 LNK 파일 처리에서의 버그(일명 LNK 스톰핑)가 위협 행위자들이 신뢰할 수 없는 앱을 차단하기 위해 설계된 Smart App Control 보안 제어를 우회하는 데 도움이 될 수 있다고 자세히 설명합니다.

LNK 스톰핑은 비표준 대상 경로 또는 내부 구조를 가진 JavaScript 또는 MSI 파일에 조작된 잘못된 코드 서명 서명을 추가하는 것을 포함합니다.

클릭하면 explorer.exe가 이러한 LNK 파일을 자동으로 정규 형식으로 수정하여 Windows 보안 검사가 수행되기 전에 다운로드된 파일에서 MotW 레이블을 제거합니다.

“이 문제의 가장 쉬운 시연은 대상 실행 파일 경로에 점이나 공백을 추가하는 것입니다(예: powershell.exe.). 또는 상대 경로인 .\target.exe를 포함하는 LNK 파일을 생성할 수 있습니다. 링크를 클릭한 후 explorer.exe는 일치하는 .exe 이름을 검색하고 찾아서 전체 경로를 자동으로 수정하고, 디스크의 파일을 업데이트(모든 MotW 제거)한 후 최종적으로 대상을 실행합니다.”라고 Elastic Security Labs 연구원들은 조사 보고서에서 작성했습니다.

Elastic Security Labs는 VirusTotal에서 이 버그를 표시하는 여러 샘플을 확인했으며, 이는 이 버그가 수년 동안 실제로 악용되었음을 나타내며, 가장 오래된 샘플은 6년 이상 전에 제출된 것으로, 2018년 2월로 거슬러 올라갑니다.

연구 회사는 Microsoft 보안 대응 센터(MSRC)와 발견 내용을 공유했으며, MSRC는 이 문제가 “향후 Windows 업데이트에서 수정될 수 있다”고 응답했습니다.

LNK 스톰핑 외에도 Elastic Security Labs는 공격자가 탐지 회피를 위해 사용할 수 있는 다른 약점을 설명했습니다:

서명된 악성코드: 코드 서명 또는 합법적인 확장 검증(EV) 인증서를 사용하여 악성코드를 서명하면 Smart App Control 또는 SmartScreen이 경고하지 않습니다.

평판 탈취: 보안 시스템을 우회하기 위해 좋은 평판을 가진 앱을 찾아 재사용하는 것입니다.

평판 시딩: 무해해 보이고 좋은 행동을 하는 바이너리를 사용하여 특정 조건이 충족되거나 특정 시간이 경과할 경우에만 알려진 취약점이나 악성 코드를 가진 애플리케이션을 트리거하는 것입니다.

평판 변조: 평판을 변경하지 않고 파일의 특정 섹션을 수정하여 공격자가 신뢰할 수 있는 바이너리에 악성 코드를 주입할 수 있도록 하는 것입니다.

“평판 기반 보호 시스템은 일반적인 악성코드를 차단하는 강력한 계층입니다. 그러나 모든 보호 기술과 마찬가지로, 주의하면 우회할 수 있는 약점이 있습니다.”라고 회사는 결론지었습니다.

“보안 팀은 탐지 스택에서 다운로드를 신중하게 검토하고 이 영역의 보호를 위해 OS 기본 보안 기능에만 의존하지 않아야 합니다.”

Elastic Security Labs는 파일의 Smart App Control 신뢰성을 확인하기 위한 오픈 소스 도구를 출시했습니다.