본문 바로가기

벌새::Security

NVIDIA 그래픽 카드 드라이버의 디지털 서명 문제 : nvoglshim32.dll (2014.3.31)

2014년 3월 30일경 알약(ALYac) 무료 백신이 NVIDIA 그래픽 카드 드라이버 파일에 대하여 진단을 하는 문제에 대해 확인을 하던 중 nvoglshim32.dll 파일에 포함된 디지털 서명에 문제가 있는 부분을 발견하였습니다.

C:\WINDOWS\SysWOW64\nvoglshim32.dll (SHA-1 : 93488a424231d69bb0a83f0baac66e4e901ed520) - 알약(ALYac) : Gen:Variant.Symmi.17897

정보에 따르면 Windows XP 운영 체제 환경에서 NVIDIA 그래픽 카드 드라이버 관련 파일 중 "C:\WINDOWS\SysWOW64\nvoglshim32.dll" 파일을 BitDefender 엔진을 통해 진단이 이루어졌습니다.

- 파일 버전 : 9.18.13.3165
- 제품 이름 : NVIDIA OpenGL shim drivers

해당 파일은 2013년 11월 7일경 배포가 이루어진 NVIDIA GeForce 331.65 버전을 통해 설치가 된 것으로 진단은 오진(False Positive)으로 보입니다.

 

이 과정에서 Windows 7 운영 체제 환경에서 NVIDIA GeForce 335.23 버전을 통해 설치된 동일한 파일에 대해 추가적인 조사를 진행해 보았습니다.

C:\Windows\System32\nvoglshim32.dll (SHA-1 : ddbea64e877b774b1ca82e4d8fa00748e7cf46b6)
 - 파일 버전 : 9.18.13.3523
 - 제품 이름 : NVIDIA OpenGL shim drivers

2014년 3월 31일에 확인한 다른 버전의 동일 파일(nvoglshim32.dll)에 대하여 알약(ALYac) 무료 백신으로 검사를 해보면 진단이 이루어지지 않는 것으로 보아, 오진 문제가 해결되었거나 특정 버전 파일에 대해서만 진단되었던 것으로 추정됩니다.

그런데 "C:\Windows\System32\nvoglshim32.dll" 파일에 포함된 디지털 서명을 확인해보면 "NVIDIA CORPORATION" 서명이지만 "서명에 있는 인증서를 확인할 수 없습니다."라는 메시지를 확인할 수 있습니다.

NVIDIA Subordinate CA
Status  A certificate chain could not be built to a trusted root authority.
Valid from 1:04 AM 8/10/2012
Valid to 1:14 AM 8/10/2014
Valid usage Code Signing, 1.3.6.1.4.1.311.10.5.3
Algorithm SHA1
Thumbrint 5A1325205D0D05E5C4D9600BD9E295DD5CFF3139
Serial number 61 03 8F 70 00 03 00 00 00 1B

인증서를 세부적으로 확인해보면 인증 경로 중 "NVIDIA Subordinate CA" 인증서의 발급자를 확인할 수 있는 상태로 표시되어 있습니다.

문제가 된 "NVIDIA Subordinate CA" 인증서는 "Microsoft Digital Media Authority 2005"가 발급자로 유효 기간 내에 있는 것으로 확인되고 있습니다.

 

그렇다면 정상적인 NVIDIA 그래픽 카드 드라이버에서 사용하는 디지털 서명의 구성은 어떻게 되어 있는지 살펴보겠습니다.

nvoglshim32.dll 파일을 제외한 나머지 NVIDIA 그래픽 카드 드라이버 관련 파일들은 유효한 "NVIDIA Corporation" 디지털 서명이 포함되어 있으며, nvoglshim32.dll 파일에 포함된 "NVIDIA CORPORATION" 디지털 서명과는 대소문자에 차이가 있습니다.

또한 인증 경로 역시 "VeriSign - VeriSign Class 3 Code Signing 2010 CA - NVIDIA Corporation" 형태로 올바른 인증서를 갖추고 있습니다.

 

그렇다면 언제부터 "C:\Windows\System32\nvoglshim32.dll" 파일의 디지털 서명이 다른 파일들과 차이가 있었는지에 대해 추가적인 조사를 진행해 보았습니다.

  • nvoglshim32.dll  9.18.13.3489 (SHA-1 : d9c55c3698b1c43afb3feb55fae45be3cd55b651)
  • nvoglshim32.dll  9.18.13.3250 (SHA-1 : 55ac6620ccd60a2af449a0d42ab0e8720c5c1c14)
  • nvoglshim32.dll  9.18.13.3221 (SHA-1 : c0be457e448eb734c8ee266b4a101d3d42e6779a)
  • nvoglshim32.dll  9.18.13.3221 (SHA-1 : d69920894cb3bc268a9de1b36518f8ddb5bfcb03)
  • nvoglshim32.dll  9.18.13.3182 (SHA-1 : 1f426f649e6720eca0911c52363c3c05334b4b1e)
  • nvoglshim32.dll  9.18.13.3182 (SHA-1 : fd03a556d5f7817e4f15e7b77ff22395afdf3d59)
  • nvoglshim32.dll  9.18.13.3165 (SHA-1 : 93488a424231d69bb0a83f0baac66e4e901ed520)
  • nvoglshim32.dll  9.18.13.3165 (SHA-1 : 666be51a14d79bf11fe7667776b12a2325abfde1)
  • nvoglshim32.dll  9.18.13.3158 (SHA-1 : 66ce90539d6a37503c30f4df5462989c72d87d95)
  • nvoglshim32.dll  9.18.13.2724 (SHA-1 : 48d249258b8b0b65c0e377df538d5c36afb86d2a)
  • nvoglshim32.dll  9.18.13.2723 (SHA-1 : ea412865be76e28674cd43a04136df17b63e6254)
  • nvoglshim32.dll  9.18.13.2723 (SHA-1 : 04f5e08ebe81f986a7a59a4fab6d5ccd1b079630)
  • nvoglshim32.dll  9.18.13.2684 (SHA-1 : 6100094cef827c8a50052f3f09ce8effdc119fcc)
  • nvoglshim32.dll  9.18.13.2049 (SHA-1 : c1bc7aa98584a9fd224d429bc46b146ed9079df9)
  • nvoglshim32.dll  9.18.13.2018 (SHA-1 : 0fbc3e7de83d0178a21b3f52ed29ab962d433434)

확인된 nvoglshim32.dll 파일의 구버전으로는 2013년 5월에 배포된 9.18.13.2018 버전에서도 올바르지 않은 디지털 서명이 포함되어 있는 상태로 확인되었습니다.

 

디지털 서명이 잘못되어 있다고 악성 파일을 의미하는 것은 결코 아니지만 디지털 서명이 포함된 파일의 경우 디지털 서명이 위와 같은 문제가 발생하는 경우에는 파일 손상 등을 의심할 필요가 있습니다.

 

하지만 이번 경우에는 장기간에 걸쳐 nvoglshim32.dll 파일의 디지털 서명이 지속적으로 CA 발급자가 정상적으로 표시되지 않는 형태로 배포가 이루어진 것으로 보아, NVIDIA 업체에서 해당 파일의 인증서를 제대로 확인하지 않고 있기 때문이 아닌가 생각됩니다.