在最近的一篇報道中,微軟已經(jīng)承認他們簽名了一個惡意驅(qū)動程序,現(xiàn)在它正在游戲環(huán)境中進行管理。經(jīng)調(diào)查得知,該公司已簽名的驅(qū)動程序為惡意Windows Rootkit,并持續(xù)針對游戲環(huán)境。
G DATA惡意軟件分析師Karsten Hahn首先發(fā)現(xiàn)了惡意rootkit,他確認威脅行為者的目標是用戶,特別是在東亞國家的一些用戶。
微軟公司已經(jīng)注意到這次攻擊,他們認為攻擊者使用惡意驅(qū)動程序來欺騙他們的地理位置,以便欺騙系統(tǒng)并從任何地方玩游戲。
無證書暴露跡象
該公司已內(nèi)置檢測,正在連同Zero Trust和分層防御安全態(tài)勢盡最大努力盡快阻止此驅(qū)動程序。除此之外,該公司還試圖找出通過Microsoft Defender for Endpoint鏈接的文件。但是他們也表明還沒有任何證據(jù)顯示W(wǎng)HCP簽名證書被暴露,其基礎(chǔ)設(shè)施也沒有收到黑客的破壞。
這次攻擊中使用的所有方法都發(fā)生在漏洞利用之后,然而這種惡意軟件允許威脅行為者在游戲中獲得優(yōu)勢,并且他們可以通過一些常用工具(如鍵盤記錄器)的幫助來接管其他玩家的帳戶。
微軟簽署了一個Rootkit
經(jīng)過長時間的調(diào)查,研究人員了解到該驅(qū)動程序已被發(fā)現(xiàn)與某些國家的C&C IP正在進行通信,并且所有這些IP都令人懷疑,因為它們根本沒有提供任何合法的功能。
不過有消息稱,從Windows Vista開始,任何在內(nèi)核模式下運行的代碼都需要在公開發(fā)布之前進行測試和簽名,以確保操作系統(tǒng)的穩(wěn)定性。默認情況下無法安裝沒有Microsoft證書的驅(qū)動程序。
但是,對Netfilter 的C&C基礎(chǔ)設(shè)施進行的URL的分析清楚地表明,第一個URL返回一組備用路由(URL),由(“|”)分隔,所有這些都用于特定目的。
“hxxp://110.42.4.180:2081/p”–以此結(jié)尾的URL與代理設(shè)置相鏈接。
“hxxp://110.42.4.180:2081/s”–規(guī)定編碼的IP地址轉(zhuǎn)發(fā)。
“hxxp://110.42.4.180:2081/h?”–專用于獲取CPU-ID。
“hxxp://110.42.4.180:2081/c”–生成根證書。
“hxxp://110.42.4.180:2081/v?”–鏈接到自動惡意軟件更新功能。
第三方賬戶被暫停
在得知惡意驅(qū)動程序后,微軟表示將展開強有力的調(diào)查。調(diào)查結(jié)束后不久,該公司得知黑客已經(jīng)通過Windows硬件兼容性計劃(WHCP)放棄了驅(qū)動程序的認證。
但是,微軟已經(jīng)通過傳播該帳戶立即暫停了惡意驅(qū)動程序,并檢查了黑客提交的惡意軟件的進一步活動跡象。
微軟承認簽署了惡意驅(qū)動程序
目前看來沒有證據(jù)證明被盜的代碼簽名證書已經(jīng)被使用,但是黑客已經(jīng)針對游戲行業(yè)開始了攻擊。同時可以明確的一點是這種錯誤簽名的二進制文件以后可能會被黑客濫用,并且很容易產(chǎn)生大規(guī)模的軟件供應(yīng)鏈攻擊。
除此之外,微軟正在盡最大努力阻止此類攻擊,并找出所有細節(jié)和關(guān)鍵因素,從而更好地了解威脅行為者的主要動機和整個行動計劃。