시스코의 보안 팀인 시스코 탈로스가 오픈소스 소프트웨어를 사용해 커널 모드 드라이버 서명을 위조해 멀웨어를 설치/실행하는 방법을 공개했습니다.
여기에선 HookSignTool이나 FuckCertVerifyTimeValidity 같은 윈도우 드라이버 서명 날짜를 위조하는 소프트웨어를 써서, 기간이 지난 인증서로 서명된 악의적인 드라이버를 설치해 악성코드를 실행시킵니다.
마이크로소프트는 윈도우 10 버전 1607부터 개발자 포털의 심사를 받지 않은 커널 모드 드라이버를 쓰지 못하도록 막았습니다. 하지만 구형 드라이버의 기능과 호환성을 유지하기 위해, 2015년 7월 29일 이전에 발행된 증명서로 서명된 드라이버는 설치가 가능한데요. 이 예외점을 악용한 것입니다.