[[409035]]

在最近的一篇報(bào)道中，微軟已經(jīng)承認(rèn)他們簽名了一個(gè)惡意驅(qū)動(dòng)程序，現(xiàn)在它正在游戲環(huán)境中進(jìn)行管理。經(jīng)調(diào)查得知，該公司已簽名的驅(qū)動(dòng)程序?yàn)閻阂釽indows Rootkit，并持續(xù)針對(duì)游戲環(huán)境。

G DATA惡意軟件分析師Karsten Hahn首先發(fā)現(xiàn)了惡意rootkit，他確認(rèn)威脅行為者的目標(biāo)是用戶(hù)，特別是在東亞國(guó)家的一些用戶(hù)。

微軟公司已經(jīng)注意到這次攻擊，他們認(rèn)為攻擊者使用惡意驅(qū)動(dòng)程序來(lái)欺騙他們的地理位置，以便欺騙系統(tǒng)并從任何地方玩游戲。

無(wú)證書(shū)暴露跡象

該公司已內(nèi)置檢測(cè)，正在連同Zero Trust和分層防御安全態(tài)勢(shì)盡最大努力盡快阻止此驅(qū)動(dòng)程序。除此之外，該公司還試圖找出通過(guò)Microsoft Defender for Endpoint鏈接的文件。但是他們也表明還沒(méi)有任何證據(jù)顯示W(wǎng)HCP簽名證書(shū)被暴露，其基礎(chǔ)設(shè)施也沒(méi)有收到黑客的破壞。

這次攻擊中使用的所有方法都發(fā)生在漏洞利用之后，然而這種惡意軟件允許威脅行為者在游戲中獲得優(yōu)勢(shì)，并且他們可以通過(guò)一些常用工具(如鍵盤(pán)記錄器)的幫助來(lái)接管其他玩家的帳戶(hù)。

微軟簽署了一個(gè)Rootkit

經(jīng)過(guò)長(zhǎng)時(shí)間的調(diào)查，研究人員了解到該驅(qū)動(dòng)程序已被發(fā)現(xiàn)與某些國(guó)家的C&C IP正在進(jìn)行通信，并且所有這些IP都令人懷疑，因?yàn)樗鼈兏緵](méi)有提供任何合法的功能。

不過(guò)有消息稱(chēng)，從Windows Vista開(kāi)始，任何在內(nèi)核模式下運(yùn)行的代碼都需要在公開(kāi)發(fā)布之前進(jìn)行測(cè)試和簽名，以確保操作系統(tǒng)的穩(wěn)定性。默認(rèn)情況下無(wú)法安裝沒(méi)有Microsoft證書(shū)的驅(qū)動(dòng)程序。

但是，對(duì)Netfilter 的C&C基礎(chǔ)設(shè)施進(jìn)行的URL的分析清楚地表明，第一個(gè)URL返回一組備用路由(URL)，由(“|”)分隔，所有這些都用于特定目的。

◾“hxxp://110.42.4.180:2081/p”–以此結(jié)尾的URL與代理設(shè)置相鏈接。

◾“hxxp://110.42.4.180:2081/s”–規(guī)定編碼的IP地址轉(zhuǎn)發(fā)。

◾“hxxp://110.42.4.180:2081/h?”–專(zhuān)用于獲取CPU-ID。

◾“hxxp://110.42.4.180:2081/c”–生成根證書(shū)。

◾“hxxp://110.42.4.180:2081/v?”–鏈接到自動(dòng)惡意軟件更新功能。

第三方賬戶(hù)被暫停

在得知惡意驅(qū)動(dòng)程序后，微軟表示將展開(kāi)強(qiáng)有力的調(diào)查。調(diào)查結(jié)束后不久，該公司得知黑客已經(jīng)通過(guò)Windows硬件兼容性計(jì)劃(WHCP)放棄了驅(qū)動(dòng)程序的認(rèn)證。

但是，微軟已經(jīng)通過(guò)傳播該帳戶(hù)立即暫停了惡意驅(qū)動(dòng)程序，并檢查了黑客提交的惡意軟件的進(jìn)一步活動(dòng)跡象。

微軟承認(rèn)簽署了惡意驅(qū)動(dòng)程序

目前看來(lái)沒(méi)有證據(jù)證明被盜的代碼簽名證書(shū)已經(jīng)被使用，但是黑客已經(jīng)針對(duì)游戲行業(yè)開(kāi)始了攻擊。同時(shí)可以明確的一點(diǎn)是這種錯(cuò)誤簽名的二進(jìn)制文件以后可能會(huì)被黑客濫用，并且很容易產(chǎn)生大規(guī)模的軟件供應(yīng)鏈攻擊。

除此之外，微軟正在盡最大努力阻止此類(lèi)攻擊，并找出所有細(xì)節(jié)和關(guān)鍵因素，從而更好地了解威脅行為者的主要?jiǎng)訖C(jī)和整個(gè)行動(dòng)計(jì)劃。

本文翻譯自：https://gbhackers.com/hackers-trick-microsoft-into-signing-a-malicious-netfilter-rootkit/如若轉(zhuǎn)載，請(qǐng)注明原文地址。