黑客誘騙微軟簽署了他們的惡意程序

在最近的一篇報道中，微軟已經(jīng)承認他們簽名了一個(gè)惡意驅動(dòng)程序，現在它正在游戲環(huán)境中進(jìn)行管理。經(jīng)調查得知，該公司已簽名的驅動(dòng)程序為惡意Windows Rootkit，并持續針對游戲環(huán)境。

G DATA惡意軟件分析師Karsten Hahn首先發(fā)現了惡意rootkit，他確認威脅行為者的目標是用戶(hù)，特別是在東亞國家的一些用戶(hù)。

微軟公司已經(jīng)注意到這次攻擊，他們認為攻擊者使用惡意驅動(dòng)程序來(lái)欺騙他們的地理位置，以便欺騙系統并從任何地方玩游戲。

無(wú)ssl/' target='_blank'>證書(shū)暴露跡象

該公司已內置檢測，正在連同Zero Trust和分層防御安全態(tài)勢盡最大努力盡快阻止此驅動(dòng)程序。除此之外，該公司還試圖找出通過(guò)Microsoft Defender for Endpoint鏈接的文件。但是他們也表明還沒(méi)有任何證據顯示W(wǎng)HCP簽名證書(shū)被暴露，其基礎設施也沒(méi)有收到黑客的破壞。

這次攻擊中使用的所有方法都發(fā)生在漏洞利用之后，然而這種惡意軟件允許威脅行為者在游戲中獲得優(yōu)勢，并且他們可以通過(guò)一些常用工具(如鍵盤(pán)記錄器)的幫助來(lái)接管其他玩家的帳戶(hù)。

微軟簽署了一個(gè)Rootkit

經(jīng)過(guò)長(cháng)時(shí)間的調查，研究人員了解到該驅動(dòng)程序已被發(fā)現與某些國家的C&C IP正在進(jìn)行通信，并且所有這些IP都令人懷疑，因為它們根本沒(méi)有提供任何合法的功能。

不過(guò)有消息稱(chēng)，從Windows Vista開(kāi)始，任何在內核模式下運行的代碼都需要在公開(kāi)發(fā)布之前進(jìn)行測試和簽名，以確保操作系統的穩定性。默認情況下無(wú)法安裝沒(méi)有Microsoft證書(shū)的驅動(dòng)程序。

但是，對Netfilter 的C&C基礎設施進(jìn)行的URL的分析清楚地表明，第一個(gè)URL返回一組備用路由(URL)，由(“|”)分隔，所有這些都用于特定目的。

◾“hxxp://110.42.4.180:2081/p”–以此結尾的URL與代理設置相鏈接。

◾“hxxp://110.42.4.180:2081/s”–規定編碼的IP地址轉發(fā)。

◾“hxxp://110.42.4.180:2081/h?”–專(zhuān)用于獲取CPU-ID。

◾“hxxp://110.42.4.180:2081/c”–生成根證書(shū)。

◾“hxxp://110.42.4.180:2081/v?”–鏈接到自動(dòng)惡意軟件更新功能。

第三方賬戶(hù)被暫停

在得知惡意驅動(dòng)程序后，微軟表示將展開(kāi)強有力的調查。調查結束后不久，該公司得知黑客已經(jīng)通過(guò)Windows硬件兼容性計劃(WHCP)放棄了驅動(dòng)程序的認證。

但是，微軟已經(jīng)通過(guò)傳播該帳戶(hù)立即暫停了惡意驅動(dòng)程序，并檢查了黑客提交的惡意軟件的進(jìn)一步活動(dòng)跡象。

微軟承認簽署了惡意驅動(dòng)程序

目前看來(lái)沒(méi)有證據證明被盜的代碼簽名證書(shū)已經(jīng)被使用，但是黑客已經(jīng)針對游戲行業(yè)開(kāi)始了攻擊。同時(shí)可以明確的一點(diǎn)是這種錯誤簽名的二進(jìn)制文件以后可能會(huì )被黑客濫用，并且很容易產(chǎn)生大規模的軟件供應鏈攻擊。

除此之外，微軟正在盡最大努力阻止此類(lèi)攻擊，并找出所有細節和關(guān)鍵因素，從而更好地了解威脅行為者的主要動(dòng)機和整個(gè)行動(dòng)計劃。

本文翻譯自：https://gbhackers.com/hackers-trick-microsoft-into-signing-a-malicious-netfilter-rootkit/如若轉載，請注明原文地址。

【編輯推薦】