Разделы

Безопасность Стратегия безопасности Техника

Microsoft поделилась своими цифровыми подписями с хакерами. Теперь они могут получить полный контроль над ПК. Антивирусы не помеха

Исследователи в области безопасности обнаружили серию кибератак с использованием вредоносных Windows-драйверов, подписанных корпорацией Microsoft – разработчиком операционной системы. На такие доверенные драйверы, которые позволяют злоумышленнику установить тотальный контроль над компьютером, не обращают внимание антивирусы.

Кибератаки через подписанные Microsoft драйверы

Специалисты по безопасности из компаний Mandiant, Sophos и SentinelOne зафиксировали кибератаки с использованием вредоносных драйверов устройств для Windows, подписанных Microsoft.

Антивирусным ПО такие драйверы воспринимаются как заведомо безопасные, что позволяет злоумышленникам внедрять на целевые машины вредоносы и устанавливать едва ли не полный контроль над системой, не вызывая при этом каких-либо подозрений.

Представители ИБ-компаний уведомили корпорацию о проблеме в октябре 2022 г. По итогам расследования, проведенного Microsoft, выяснилось, что с нескольких аккаунтов разработчиков в Microsoft Partner Center злоумышленники направляли запросы на получение цифровой подписи для собственных драйверов, содержащих вредоносный код. Соответствующие учетные записи были заблокированы.

Злоумышленники вновь атакуют Windows-системы с помощью подписанных Microsoft вредоносных драйверов

В 2021 г. Исследователи из компании G Data обнаружили подписанный Microsoft драйвер под названием Netfilter. В действительности он оказался ни чем иным, как руткитом, который передавал на удаленный на сервер в Китае содержимое зашифрованных каналов коммуникаций.

Как проходит аттестация драйверов Windows

В операционных системах Windows актуальных версий драйверы режима ядра (kernel-mode hardware drivers) при загрузке получают наивысший уровень привилегий в ОС. Оказавшись под контролем злоумышленника, такой драйвер способен на выполнение множества операций, недоступных программам, запущенным в пространстве пользователя. В числе таких операций – вывод из строя антивирусного ПО, удаление защищенных системой файлов, а также маскировать другие процессы в системе, ведя себя как руткит.

В 2015 г. Microsoft предупредила производителей «железа» о том, что с выходом Windows 10 все новые драйверы режима ядра должны будут в обязательном порядке получать цифровую подпись компании через Windows Hardware Developer Center (WHDC; центр разработки оборудования Windows).

Однако на деле соответствующие меры по обеспечению безопасности вступили в силу лишь в июле 2016 г., и с тех пор неподписанные драйверы Windows устанавливать отказывается.

Процедура аттестации драйвера Microsoft является многоступенчатой и довольно сложной. Так, разработчику для ее прохождения совершенно необходимо приобрести сертификат EV (Extended Validation; дополнительная проверка). Процедура его получения предусматривает подтверждение доверенным центром сертификации факта существования компании, на имя которой тот оформляется, и принадлежности этой компании сертифицированных доменных имен.

Затем разработчик должен привязать полученный EV-сертификат к учетной записи участника Windows Hardware Developer Program (WHDP; программа разработки оборудования Windows). После этого драйвер, нуждающийся в подписи, отправляется в Microsoft через партнерский портал для дальнейшей проверки на совместимость и наличие вредоносного содержимого. В случае ее успешного прохождения драйвер получает электронную подпись Microsoft (Microsoft Hardware Compatibility Publisher), поясняют в SentinelOne.

Разработчики многих ИБ-решений считают эту процедуру достаточно надежной и поэтому их продукты полностью доверяют ПО, подписанному Microsoft. Таким образом, для злоумышленника наличие возможности подписывать собственные драйверы уровня ядра с помощью сертификата Microsoft представляет огромную ценность.

Новый инструментарий для вывода из строя средств безопасности

Исследователи обнаружили новый хакерский инструментарий, состоящий из двух компонентов: загрузчика (STONESTOP) и драйвера режима ядра (POORTRY). Тулкит применяется для осуществления атаки типа BYOVD (Bring Your Own Vulnerable Driver), то есть за счет эксплуатации известных уязвимостей, как правило, в легитимном подписанном драйвере.

Сергей Хамедов, CyberOne: Мы наблюдаем стремительный рост популярности коммерческих SOC-центров в Казахстане
безопасность

По информации Mandian и SentinelOne, STONESTOP представляет собой приложение, выполняемое в пространстве пользователя, которое предназначено для поиска и принудительного завершения процессов, связанных с ПО для защиты системы. Другая известная ИБ-специалистам модификация наделена функциональностью перезаписи и удаления файлов.

Антивирусы и подобное ПО защищено от попыток воздействия на него со стороны приложениями, запущенными в пространстве пользователя. Поэтому STONESTOP пытается загрузить POORTRY (драйвер режима ядра, подписанный Microsoft), который имеет достаточно полномочий для того, чтобы «убить» создающие для оператора помехи процессы или службы. Таким образом, STONESTOP не только выступает в роли загрузчика вредоносного драйвера, но и управляет его поведением.

Впрочем, как выяснил специалист компании SafeBreach Labs Ор Яир (Or Yair), повлиять на поведение некоторых популярных антивирусов можно и без внедрения в Windows вредоносных драйверов. Ранее CNews сообщил о том, что ИБ-решения способны по воле злоумышленника удалять любые, в том числе и системные, файлы.

Связь с кибервымогателями

Sophos, Mandiant и SentinelOne зафиксировали применение нового инструментария целым рядом известных группировок хакеров-вымогателей. В их числе Cuba и Hive. Кроме того, похожий тулкит еще в августе 2022 г. использовали участники UNC3944, которая для получения первоначального доступа в сеть организаций использует технику подмены SIM-карт.

В настоящий момент достоверно неизвестно, каким образом упомянутые группировки сумели обзавестись подобными наборами инструментов, содержащими подписанные Microsoft компоненты. Однако Mandiant и SentinelOne считают, что инструментарием или услугой подписи вредоносных драйверов торгуют в Сети. Эксперты предполагают, что за разработкой разновидностей нового тулкита стоит один человек или организация. На это, по их мнению, указывает тот факт, что применяемые «разношерстными» киберпреступниками инструменты сходны по функциональности и по структуре, входящих в их состав, вредоносных драйверов.

Специалисты Mandiant выяснили, что для подписи вредоносных драйверов использовались сертификаты, выданные китайским компаниям: Qi Lijun; Luck Bigger Technology Co., Ltd; XinSing Network Service Co., Ltd; Hangzhou Shunwang Technology Co., Ltd; Fuzhou Superman; Beijing Hongdao Changxing International Trade Co., Ltd; Fujian Altron Interactive Entertainment Technology Co., Ltd; Xiamen Hengxin Excellence Network Technology Co., Ltd; Dalian Zongmeng Network Technology Co., Ltd.

Реакция Microsoft

Microsoft выпустила обновления безопасности, с помощью которых отозвала сертификаты, использованные для подписи вредоносных файлов и заблокировала учетные записи, через которые были отправлены заявки на аттестацию соответствующих драйверов.

В компании также пообещали усовершенствовать процедуру проверку таким образом, чтобы избежать возникновения подобных инцидентов в будущем. Однако о том, как именно злоумышленникам удалось подписать драйверы, не вызвав подозрений у специалистов, Microsoft пока не сообщила.

Дмитрий Степанов