在最近的一份报告中,微软承认他们签署了一个恶意驱动程序,现在正在游戏环境中对其进行管理。经调查发现,该公司签名的驱动程序是一个恶意的WindowsRootkit,它继续以游戏环境为目标。最先发现恶意rootkit的GDATA恶意软件分析师KarstenHahn证实,威胁行为者的目标是用户,尤其是一些东亚国家/地区的用户。微软已经注意到了这次攻击,他们认为攻击者曾经使用恶意驱动程序来欺骗他们的地理位置,以便欺骗系统并从任何地方玩游戏。没有证书暴露的证据该公司有内置检测,并尽最大努力尽快阻止这个驱动程序,以及零信任和分层防御安全态势。除此之外,该公司还试图找到通过MicrosoftDefenderforEndpoint链接的文件。但他们同时表示,没有证据表明WHCP签名证书被暴露,其基础设施并未受到黑客的破坏。这次攻击中使用的所有方法都发生在漏洞利用之后,但是这种恶意软件允许威胁参与者在游戏中获得优势,并且他们可以借助键盘记录器帐户等一些常用工具接管其他玩家。微软签署了一个Rootkit经过长时间的调查,研究人员了解到该驱动程序已被发现与某些国家/地区的C&CIP进行通信,并且所有这些IP都是可疑的,因为它们根本不提供任何合法功能。不过,消息人士称,从WindowsVista开始,任何以内核模式运行的代码在公开发布之前都需要经过测试和签名,以确保操作系统的稳定性。默认情况下无法安装没有Microsoft证书的驱动程序。然而,Netfilter的C&C基础设施对URL的分析清楚地表明,第一个URL返回一组备用路由(URL),由(“|”)分隔,所有这些都服务于特定目的。?"hxxp://110.42.4.180:2081/p"–以此结尾的URL与代理设置相关联。?“hxxp://110.42.4.180:2081/s”——指定编码IP地址的转发。?“hxxp://110.42.4.180:2081/h?”–专用于获取CPU-ID。?"hxxp://110.42.4.180:2081/c"–生成根证书。?“hxxp://110.42.4.180:2081/v?”–链接到自动恶意软件更新功能。第三方账户被暂停在获悉恶意驱动程序后,微软表示将展开强有力的调查。调查后不久,该公司了解到黑客通过Windows硬件兼容性计划(WHCP)放弃了驱动程序认证。但是,微软通过传播帐户并检查黑客提交的恶意软件是否有进一步活动的迹象,立即暂停了恶意驱动程序。微软承认对恶意驱动程序进行签名似乎没有证据表明有人使用了被盗的代码签名证书,但黑客已经瞄准了游戏行业。同时,很明显这种错误签名的二进制文件未来可能会被黑客滥用,很容易产生大规模的软件供应链攻击。除此之外,微软正在尽最大努力阻止此类攻击,并找出所有细节和关键因素,以更好地了解威胁行为者的主要动机和总体行动计划。本文翻译自:https://gbhackers.com/hackers-trick-microsoft-into-signing-a-malicious-netfilter-rootkit/如有转载请注明出处。
