Хакеры использовали политику Microsoft для изменения даты подписи вредоносных драйверов до 29 июля 2015 года

Microsoft заблокировала 13 сертификатов для подписи кода. Их использовали китайские хакеры и разработчики для подписи и загрузки вредоносных драйверов режима ядра (Kernel-Mode Drivers) во взломанные системы с помощью инструментов FuckCertVerify и HookSignTool. 

Инструменты существуют с 2018 и 2019 годов. Они позволяют изменять даты подписи вредоносных драйверов на даты до 29 июля 2015 года. FuckCertVerify ранее использовался также как инструмент для читерства в играх.

В итоге более 100 вредоносных драйверов получили действительные подписи через Windows Hardware Compatibility Program (WHCP).

«Злоумышленники используют несколько инструментов с открытым исходным кодом, которые изменяют дату подписания драйверов режима ядра для загрузки вредоносных и непроверенных драйверов, подписанных сертификатами с истёкшим сроком действия.  Это серьёзная угроза, поскольку доступ к ядру обеспечивает полный доступ к системе и, следовательно, полную компрометацию», — заявили исследователи кибербезопасности.

Драйверы режима ядра работают с наивысшим уровнем привилегий в Windows. Они дают злоумышленникам полный доступ к атакуемой системе. При этом драйвер режима ядра может нарушать работу защитных решений или прицельно менять конфигурацию, чтобы избежать обнаружения.

С выпуском Windows Vista Microsoft ограничила загрузку драйверов режима ядра в операционную систему. От разработчиков потребовали отправлять свои драйверы на проверку и подписывать их через специальный портал. Однако для работы со старыми приложениями Microsoft ввела исключения, если ПК обновлён с более ранней версии Windows до Windows 10 версии 1607; Secure Boot отключён в BIOS; драйверы подписаны сертификатом end-entity, выпущенным до 29 июля 2015 года, который связан с поддерживаемым удостоверяющим центром с перекрёстной подписью.

Злоупотребления обнаружили эксперты Sophos, Cisco Talos и Trend Micro. по их словам, китайские хакеры запускали драйверы для браузерной малвари, руткитов и игровых читов. Исследователи выяснили, что такой метод начали применять ещё в апреле 2021 года для злоупотребления исключениями в программе Microsoft WHCP и подписания драйверов. Хакеры могли использовать старые и неаннулированные сертификаты для подписи драйверов и последующей загрузки их в Windows с целью повышения привилегий.

Cisco Talos приводит в пример вредоносный драйвер RedDriver, подписанный с помощью HookSignTool. RedDriver — браузерной малвари, которая может перехватывать трафик в Chrome, Edge, Firefox, а также других браузерах.

FuckCertVerifyTimeValidity работает аналогичным образом. Он использует пакет Microsoft Detours для присоединения к вызову API CertVerifyTimeValidity и устанавливает временную отметку на выбранную дату, но при этом не оставляет артефактов в бинарном файле, который подписывает.

Эксперты выявили в репозиториях на GitHub и на различных китайских форумах множество сертификатов, которые могут использоваться этими инструментами.

Чаще всего использовались 13 сертификатов, в том числе:

• Open Source Developer, William Zoltan,

• Luca Marcone,

• HT Srl,

• Beijing JoinHope Image Technology Ltd.,

• Shenzhen Luyoudashi Technology Co., Ltd.,

• Jiangsu innovation safety assessment Co., Ltd.,

• Baoji zhihengtaiye co.,ltd,

• Zhuhai liancheng Technology Co., Ltd.,

• Fuqing Yuntan Network Tech Co.,Ltd.,

• Beijing Chunbai Technology Development Co., Ltd,

• 绍兴易游网络科技有限公司,

• 善君 韦,

• NHN USA Inc.

В отчёте Sophos говорится, что компания обнаружила более сотни вредоносных драйверов ядра, используемых  для прекращения работы защитного ПО, обычно защищенного от user mode программ.

Microsoft уже отозвала связанные с вредоносной активностью сертификаты и заблокировала учётные записи уличённых в их использовании разработчиков.

Одновременно компания обновила отзывной список Windows Driver.STL и начала блокировать проблемы (Microsoft Defender 1.391.3822.0 и новее).

Однако эксперты не считают, что это полностью устраняет риски. Другие сертификаты остаются незащищёнными или уже украдены.

Здесь можно подробнее прочитать о самых опасных драйверах для Windows.