Новая атака на цель поставок: Microsoft подписала руткит
Аналитик из компании G Data Картсен Хан (Karsten Hahn) впервые обнаружил необычное поведение и присоединился к сообществу Infosec с целью совместного отслеживания и анализа вредоносной активности драйвера, подписанного Microsoft.
Данный инцидент вновь обращает наше внимание на безопасность цепи поставок. В этом случае атака оказалась успешной из-за уязвимости в процедуре подписания кода Microsoft.
Эксперт по безопасности G Data заявил:
Драйвер «Netfilter» является руткитом, подписанным Microsoft. На прошлой неделе защитные системы G Data зафиксировали опасное поведение, которое казалось ложным срабатыванием. На самом деле, драйвер «Netfilter», с подписью Microsoft несет реальную угрозу.
При детальном анализе оказалось, что драйвер общается с командными серверами (С2) с китайскими IP-адресами. Своей находкой специалист G Data сразу же поделился с Microsoft. Хан пояснил:
Еще со времен Windows VIsta любой код, запускаемый в режиме ядра, нужно тестировать и подписывать до публичного выпуска, чтобы обеспечить стабильную работу операционной системы.
Драйверы без сертификата Microsoft не могут быть установлены по умолчанию.
Анализ командных серверов, выявил, что первый URL-адрес C2 возвращает набор нескольких маршрутов, разделенных символом «|».
При переходе по URL-адресу становятся доступно больше маршрутов разного назначения:
- URL, заканчивающийся на /p, связан с настройками прокси,
- /s обеспечивает закодированное перенаправление IPS,
- /h для получения CPU-ID,
- /c предоставляет корневой сертификат
- /v связан с функцией автообновления вредоносного ПО
Маршрут /v предоставляет путь к вредоносному драйверу Netfilter по маршруту /d3.
Исследователю G Data понадобилось некоторое время, чтобы проанализировать драйвер и убедиться в его вредоносной природе.
В отдельной публикации блога исследователь приводит результаты анализа драйвера, его функции самостоятельного обновления и указывает индикаторы компрометации.
Хан отмечает:
Образец поддерживает процедуру самостоятельно обновления, которая отправляет собственный хеш MD5 на сервер через hxxp://110.42.4.180:2081/v?v=6&m=,
Пример запроса выглядит следующим образом:
hxxp://110.42.4.180:2081/v?v=6&m=921fa8a5442e9bf3fe727e770cded4ab
Эксперт G Data добавил:
Затем сервер либо возвращает адрес с новейшей версией образца, например hxxp://110.42.4.180:2081/d6, либо статус ОК, если используется актуальная версия образца.
В ходе своего анализа Хан присоединился к другим исследователям вредоносных программ: к Иоганну Айденбасу (Johann Aydinbas), к Такахиро Харуяма (Takahiro Haruyama) и к Флориану Роту (Florian Roth).
Рот смог собрать список образцов в электронной таблице и предоставил в инструмент YARA правила для обнаружения угрозы в вашей сетевой среде.
Любопытный факт, что один из командных серверов с IP-адресом 110.42.4.180 связывается с доменом, который согласно WHOIS, принадлежит компании Ningbo Zhuo Zhi Innovation Network Technology Co., Ltd.
Microsoft признается в подписи вредоносного драйвера
Microsoft продолжает расследовать данный инцидент и пока нет доказательств того, что использовались украденные сертификаты подписания кода. Компания сообщает:
Microsoft расследует инцидент безопасности, связанный с распространением вредоносных драйверов в игровых средах.
Злоумышленники представили драйверы для сертификации через программу совместимости оборудования Windows. Драйверы были разработаны третьей стороной.
Мы заблокировали аккаунт и проанализировали представленные материалы на предмет дополнительных признаков вредоносных программ.
Согласно Microsoft, в качестве целей киберпреступников интересовал игровой сектор в Китае, и нет никаких признаков ущерба в корпоративных средах.
Бинарные файлы с полученной обманным путем подписью могут использоваться для проведения крупномасштабных атак на цепь поставок. Например, в атаке Stucernet, нацеленную на ядерные объекты Ирана, использовались вредоносные файлы, подписанные сертификатами Realtek и Jmicron.
Этот конкретный инцидент раскрыл уязвимости процедур подписания кодов, которые активно эксплуатируются злоумышленникам для получения надежного сертификата без его компрометации
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России