Microsoft подтвердила подписание вредоносного драйвера, распространяемого в игровых средах.
Этот драйвер, названный «Netfilter», на самом деле является руткитом, который, как было замечено, обменивался данными с китайскими IP-адресами управления и контроля (C2).
Аналитик вредоносного ПО G Data Карстен Хан впервые обратил внимание на это событие на прошлой неделе, и к нему присоединилась более широкая информационная служба. Сообщество по отслеживанию и анализу вредоносных драйверов с печатью Microsoft.
Этот инцидент в очередной раз выявил угрозы безопасности цепочки поставок программного обеспечения, но на этот раз он возник из-за слабости процесса подписи кода Microsoft.
Драйвер "Netfilter" - руткит, подписанный Microsoft.
На прошлой неделе системы оповещения о кибербезопасности G Data отметили ложное срабатывание, но это не так - подписанный Microsoft драйвер под названием «Netfilter».Рассматриваемый драйвер был замечен в общении с базирующимися в Китае IP-адресами C&C, не обеспечивающими законных функций, и поэтому вызвал подозрения.
Именно тогда Карстен Хан, аналитик вредоносных программ G Data, поделился этим публично и одновременно связался с Microsoft:
Вредоносный двоичный файл подписан Microsoft ( VirusTotal ).
«Начиная с Windows Vista, любой код, работающий в режиме ядра, необходимо тестировать и подписывать перед общедоступным выпуском, чтобы обеспечить стабильность операционной системы».
«Драйверы без сертификата Microsoft не могут быть установлены по умолчанию», - заявляет Хан.
В то время BleepingComputer начал наблюдать за поведением URL-адресов C2, а также обратился в Microsoft за заявлением.
Первый URL-адрес C2 возвращает набор дополнительных маршрутов (URL-адресов), разделенных вертикальной чертой ("|"):
Переход по URL-адресу C2 предоставляет больше маршрутов для различных целей. Источник: BleepingComputer.
По словам Хана, каждое из них служит определенной цели:
- URL-адрес, заканчивающийся на "/ p", связан с настройками прокси-сервера,
- "/ s" предоставляет закодированные IP-адреса перенаправления,
- "/час?" для получения CPU-ID,
- "/ c" предоставил корневой сертификат, и
- "/ v?" связано с функцией самообновления вредоносного ПО.
Путь к вредоносному драйверу Netfilter
Источник: BleepingComputer
Исследователь G Data потратил некоторое время на тщательный анализ драйвера и пришел к выводу, что он является вредоносным.
Исследователь проанализировал драйвер, его функции самообновления и индикаторы взлома (IOC) в подробном сообщении в блоге .
«В образце есть процедура самообновления, которая отправляет свой собственный хэш MD5 на сервер через hxxp: //110.42.4.180: 2081 / v? V = 6 & m =» , - говорит Хан.
Пример запроса мог бы выглядеть так:
hxxp: //110.42.4.180: 2081 / v? v = 6 & m = 921fa8a5442e9bf3fe727e770cded4ab
«Затем сервер отвечает URL-адресом последнего образца, например, hxxp: //110.42.4.180: 2081 / d6, или« OK », если образец актуален. Вредоносное ПО заменяет свой собственный файл соответствующим образом», далее объяснил исследователь.
Функция самообновления вредоносного ПО проанализирована G Data
В ходе анализа к Хану присоединились другие исследователи вредоносного ПО, в том числе Иоганн Айдинбас , Такахиро Харуяма и Флориан Рот .
Рот смог собрать список образцов в электронную таблицу и предоставил правила YARA для их обнаружения в ваших сетевых средах.
Примечательно, что IP-адрес C2 110.42.4.180, к которому подключается вредоносный драйвер Netfilter, принадлежал Ningbo Zhuo Zhi Innovation Network Technology Co., Ltd, согласно записям WHOIS:
Поиск в WHOIS по IP-адресу (BleepingComputer)
Microsoft признала, что подписала вредоносный драйвер
Microsoft активно расследует этот инцидент, хотя до сих пор нет доказательств того, что использовались украденные сертификаты для подписи кода.Несчастный случай, похоже, произошел в результате того, что злоумышленник следил за процессом Microsoft по отправке вредоносных драйверов Netfilter и сумел законным образом получить подписанный Microsoft двоичный файл:
«Microsoft расследует злоумышленника, распространяющего вредоносные драйверы в игровых средах».
«Актер представил драйверы для сертификации через программу совместимости оборудования Windows. Драйверы были созданы третьей стороной».
«Мы приостановили действие учетной записи и проверили отправленные ими сообщения на предмет наличия дополнительных признаков вредоносного ПО», - заявила вчера Microsoft.
По данным Microsoft, злоумышленник в основном нацелился на игровой сектор, особенно в Китае, с помощью этих вредоносных драйверов, и пока нет никаких свидетельств того, что корпоративные среды были затронуты.
Microsoft пока что воздерживается от приписывания этого инцидента субъектам национального государства.
Изощренные злоумышленники могут злоупотреблять ложно подписанными двоичными файлами для облегчения крупномасштабных атак на цепочку поставок программного обеспечения.
Многогранная атака Stuxnet, направленная на ядерную программу Ирана, знаменует собой хорошо известный инцидент, в ходе которого сертификаты подписи кода были украдены у Realtek и JMicron для облегчения атаки.
Однако этот конкретный инцидент выявил слабые места в законном процессе подписи кода, которые злоумышленники использовали для получения кода, подписанного Microsoft, без нарушения каких-либо сертификатов.
Первод - Google
Bleeping Computer
Последнее редактирование модератором:
