Microsoft заблокировала 13 сертификатов для подписи кода. Их использовали китайские хакеры и разработчики для подписи и загрузки вредоносных драйверов режима ядра (Kernel-Mode Drivers) во взломанные системы с помощью инструментов FuckCertVerify и HookSignTool.
![Предложения сертификатов на сайтах / talosintelligence.com Предложения сертификатов на сайтах / talosintelligence.com](https://habrastorage.org/getpro/habr/upload_files/9ff/ad8/8ac/9ffad88ac58755c45ed46ebd04496cd3.jpg)
Инструменты существуют с 2018 и 2019 годов. Они позволяют изменять даты подписи вредоносных драйверов на даты до 29 июля 2015 года. FuckCertVerify ранее использовался также как инструмент для читерства в играх.
В итоге более 100 вредоносных драйверов получили действительные подписи через Windows Hardware Compatibility Program (WHCP).
«Злоумышленники используют несколько инструментов с открытым исходным кодом, которые изменяют дату подписания драйверов режима ядра для загрузки вредоносных и непроверенных драйверов, подписанных сертификатами с истёкшим сроком действия. Это серьёзная угроза, поскольку доступ к ядру обеспечивает полный доступ к системе и, следовательно, полную компрометацию», — заявили исследователи кибербезопасности.
Драйверы режима ядра работают с наивысшим уровнем привилегий в Windows. Они дают злоумышленникам полный доступ к атакуемой системе. При этом драйвер режима ядра может нарушать работу защитных решений или прицельно менять конфигурацию, чтобы избежать обнаружения.
![Архитектура ядра Windows / talosintelligence.com Архитектура ядра Windows / talosintelligence.com](https://habrastorage.org/getpro/habr/upload_files/5ac/af1/ba9/5acaf1ba990273b5bf336639cf29ae7a.jpg)
С выпуском Windows Vista Microsoft ограничила загрузку драйверов режима ядра в операционную систему. От разработчиков потребовали отправлять свои драйверы на проверку и подписывать их через специальный портал. Однако для работы со старыми приложениями Microsoft ввела исключения, если ПК обновлён с более ранней версии Windows до Windows 10 версии 1607; Secure Boot отключён в BIOS; драйверы подписаны сертификатом end-entity, выпущенным до 29 июля 2015 года, который связан с поддерживаемым удостоверяющим центром с перекрёстной подписью.
Злоупотребления обнаружили эксперты Sophos, Cisco Talos и Trend Micro. по их словам, китайские хакеры запускали драйверы для браузерной малвари, руткитов и игровых читов. Исследователи выяснили, что такой метод начали применять ещё в апреле 2021 года для злоупотребления исключениями в программе Microsoft WHCP и подписания драйверов. Хакеры могли использовать старые и неаннулированные сертификаты для подписи драйверов и последующей загрузки их в Windows с целью повышения привилегий.
Cisco Talos приводит в пример вредоносный драйвер RedDriver, подписанный с помощью HookSignTool. RedDriver — браузерной малвари, которая может перехватывать трафик в Chrome, Edge, Firefox, а также других браузерах.
![Реализация обхода обнаружения в HookSignTool / talosintelligence.com Реализация обхода обнаружения в HookSignTool / talosintelligence.com](https://habrastorage.org/getpro/habr/upload_files/73d/f73/164/73df7316453791d7c737cc7269dc7a2a.jpg)
FuckCertVerifyTimeValidity работает аналогичным образом. Он использует пакет Microsoft Detours для присоединения к вызову API CertVerifyTimeValidity и устанавливает временную отметку на выбранную дату, но при этом не оставляет артефактов в бинарном файле, который подписывает.
![talosintelligence.com talosintelligence.com](https://habrastorage.org/getpro/habr/upload_files/91b/71b/d86/91b71bd86eae19d6a26d4f3e2ee07abd.jpg)
Эксперты выявили в репозиториях на GitHub и на различных китайских форумах множество сертификатов, которые могут использоваться этими инструментами.
Чаще всего использовались 13 сертификатов, в том числе:
-
Open Source Developer, William Zoltan,
-
Luca Marcone,
-
HT Srl,
-
Beijing JoinHope Image Technology Ltd.,
-
Shenzhen Luyoudashi Technology Co., Ltd.,
-
Jiangsu innovation safety assessment Co., Ltd.,
-
Baoji zhihengtaiye co.,ltd,
-
Zhuhai liancheng Technology Co., Ltd.,
-
Fuqing Yuntan Network Tech Co.,Ltd.,
-
Beijing Chunbai Technology Development Co., Ltd,
-
绍兴易游网络科技有限公司,
-
善君 韦,
-
NHN USA Inc.
В отчёте Sophos говорится, что компания обнаружила более сотни вредоносных драйверов ядра, используемых для прекращения работы защитного ПО, обычно защищенного от user mode программ.
Microsoft уже отозвала связанные с вредоносной активностью сертификаты и заблокировала учётные записи уличённых в их использовании разработчиков.
Одновременно компания обновила отзывной список Windows Driver.STL и начала блокировать проблемы (Microsoft Defender 1.391.3822.0 и новее).
Однако эксперты не считают, что это полностью устраняет риски. Другие сертификаты остаются незащищёнными или уже украдены.
Здесь можно подробнее прочитать о самых опасных драйверах для Windows.
ссылка на оригинал статьи https://habr.com/ru/articles/747692/
Добавить комментарий