黑客誘騙微軟簽署了他們的惡意程序
在最近的一篇報道中,微軟已經承認他們簽名了一個惡意驅動程序,現在它正在游戲環境中進行管理。經調查得知,該公司已簽名的驅動程序為惡意Windows Rootkit,并持續針對游戲環境。
G DATA惡意軟件分析師Karsten Hahn首先發現了惡意rootkit,他確認威脅行為者的目標是用戶,特別是在東亞國家的一些用戶。
微軟公司已經注意到這次攻擊,他們認為攻擊者使用惡意驅動程序來欺騙他們的地理位置,以便欺騙系統并從任何地方玩游戲。
無證書暴露跡象
該公司已內置檢測,正在連同Zero Trust和分層防御安全態勢盡最大努力盡快阻止此驅動程序。除此之外,該公司還試圖找出通過Microsoft Defender for Endpoint鏈接的文件。但是他們也表明還沒有任何證據顯示WHCP簽名證書被暴露,其基礎設施也沒有收到黑客的破壞。
這次攻擊中使用的所有方法都發生在漏洞利用之后,然而這種惡意軟件允許威脅行為者在游戲中獲得優勢,并且他們可以通過一些常用工具(如鍵盤記錄器)的幫助來接管其他玩家的帳戶。
微軟簽署了一個Rootkit
經過長時間的調查,研究人員了解到該驅動程序已被發現與某些國家的C&C IP正在進行通信,并且所有這些IP都令人懷疑,因為它們根本沒有提供任何合法的功能。
不過有消息稱,從Windows Vista開始,任何在內核模式下運行的代碼都需要在公開發布之前進行測試和簽名,以確保操作系統的穩定性。默認情況下無法安裝沒有Microsoft證書的驅動程序。
但是,對Netfilter 的C&C基礎設施進行的URL的分析清楚地表明,第一個URL返回一組備用路由(URL),由(“|”)分隔,所有這些都用于特定目的。
◾“hxxp://110.42.4.180:2081/p”–以此結尾的URL與代理設置相鏈接。
◾“hxxp://110.42.4.180:2081/s”–規定編碼的IP地址轉發。
◾“hxxp://110.42.4.180:2081/h?”–專用于獲取CPU-ID。
◾“hxxp://110.42.4.180:2081/c”–生成根證書。
◾“hxxp://110.42.4.180:2081/v?”–鏈接到自動惡意軟件更新功能。
第三方賬戶被暫停
在得知惡意驅動程序后,微軟表示將展開強有力的調查。調查結束后不久,該公司得知黑客已經通過Windows硬件兼容性計劃(WHCP)放棄了驅動程序的認證。
但是,微軟已經通過傳播該帳戶立即暫停了惡意驅動程序,并檢查了黑客提交的惡意軟件的進一步活動跡象。
微軟承認簽署了惡意驅動程序
目前看來沒有證據證明被盜的代碼簽名證書已經被使用,但是黑客已經針對游戲行業開始了攻擊。同時可以明確的一點是這種錯誤簽名的二進制文件以后可能會被黑客濫用,并且很容易產生大規模的軟件供應鏈攻擊。
除此之外,微軟正在盡最大努力阻止此類攻擊,并找出所有細節和關鍵因素,從而更好地了解威脅行為者的主要動機和整個行動計劃。
本文翻譯自:https://gbhackers.com/hackers-trick-microsoft-into-signing-a-malicious-netfilter-rootkit/如若轉載,請注明原文地址。
