Microsoft призналась в подписании вредоносного драйвера «Netfilter»

2021-06-28 3373 комментарии
Microsoft призналась в подписании вредоносного драйвера, который распространялся среди любителей компьютерных игр. Драйвер под названием «Netfilter» на самом деле оказался руткитом, который обменивался данными с китайскими командными серверами

Новая атака на цель поставок: Microsoft подписала руткит

Аналитик из компании G Data Картсен Хан (Karsten Hahn) впервые обнаружил необычное поведение и присоединился к сообществу Infosec с целью совместного отслеживания и анализа вредоносной активности драйвера, подписанного Microsoft.

Данный инцидент вновь обращает наше внимание на безопасность цепи поставок. В этом случае атака оказалась успешной из-за уязвимости в процедуре подписания кода Microsoft.

Эксперт по безопасности G Data заявил:

Драйвер «Netfilter» является руткитом, подписанным Microsoft. На прошлой неделе защитные системы G Data зафиксировали опасное поведение, которое казалось ложным срабатыванием. На самом деле, драйвер «Netfilter», с подписью Microsoft несет реальную угрозу.

При детальном анализе оказалось, что драйвер общается с командными серверами (С2) с китайскими IP-адресами. Своей находкой специалист G Data сразу же поделился с Microsoft. Хан пояснил:

Еще со времен Windows VIsta любой код, запускаемый в режиме ядра, нужно тестировать и подписывать до публичного выпуска, чтобы обеспечить стабильную работу операционной системы.

Драйверы без сертификата Microsoft не могут быть установлены по умолчанию.

Анализ командных серверов, выявил, что первый URL-адрес C2 возвращает набор нескольких маршрутов, разделенных символом «|».

При переходе по URL-адресу становятся доступно больше маршрутов разного назначения:

  • URL, заканчивающийся на /p, связан с настройками прокси,
  • /s обеспечивает закодированное перенаправление IPS,
  • /h для получения CPU-ID,
  • /c предоставляет корневой сертификат
  • /v связан с функцией автообновления вредоносного ПО

Маршрут /v предоставляет путь к вредоносному драйверу Netfilter по маршруту /d3.

Исследователю G Data понадобилось некоторое время, чтобы проанализировать драйвер и убедиться в его вредоносной природе.

В отдельной публикации блога исследователь приводит результаты анализа драйвера, его функции самостоятельного обновления и указывает индикаторы компрометации.

Хан отмечает:

Образец поддерживает процедуру самостоятельно обновления, которая отправляет собственный хеш MD5 на сервер через hxxp://110.42.4.180:2081/v?v=6&m=,

Пример запроса выглядит следующим образом:

hxxp://110.42.4.180:2081/v?v=6&m=921fa8a5442e9bf3fe727e770cded4ab

Эксперт G Data добавил:

Затем сервер либо возвращает адрес с новейшей версией образца, например hxxp://110.42.4.180:2081/d6, либо статус ОК, если используется актуальная версия образца.

В ходе своего анализа Хан присоединился к другим исследователям вредоносных программ: к Иоганну Айденбасу (Johann Aydinbas), к Такахиро Харуяма (Takahiro Haruyama) и к Флориану Роту (Florian Roth).

Рот смог собрать список образцов в электронной таблице и предоставил в инструмент YARA правила для обнаружения угрозы в вашей сетевой среде.

Любопытный факт, что один из командных серверов с IP-адресом 110.42.4.180 связывается с доменом,  который согласно WHOIS, принадлежит компании Ningbo Zhuo Zhi Innovation Network Technology Co., Ltd.

Microsoft признается в подписи вредоносного драйвера

Microsoft продолжает расследовать данный инцидент и пока нет доказательств того, что использовались украденные сертификаты подписания кода. Компания сообщает:

Microsoft расследует инцидент безопасности, связанный с распространением вредоносных драйверов в игровых средах.

Злоумышленники представили драйверы для сертификации через программу совместимости оборудования Windows. Драйверы были разработаны третьей стороной.

Мы заблокировали аккаунт и проанализировали представленные материалы на предмет дополнительных признаков вредоносных программ.

Согласно Microsoft, в качестве целей киберпреступников интересовал игровой сектор в Китае, и нет никаких признаков ущерба в корпоративных средах.

Бинарные файлы с полученной обманным путем подписью могут использоваться для проведения крупномасштабных атак на цепь поставок. Например, в атаке Stucernet, нацеленную на ядерные объекты Ирана, использовались вредоносные файлы, подписанные сертификатами Realtek и Jmicron.

Этот конкретный инцидент раскрыл уязвимости процедур подписания кодов, которые активно эксплуатируются злоумышленникам для получения надежного сертификата без его компрометации

© . По материалам Bleeping Computer

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?