Было обнаружено, что китайские хакеры используют два инструмента с открытым исходным кодом для подписи и загрузки вредоносных драйверов режима ядра на скомпрометированные конечные точки.
По словам исследователей кибербезопасности Cisco Talos, обнаруживших кампанию, она дает злоумышленникам максимально возможный уровень привилегий. «Это представляет серьезную угрозу, поскольку доступ к ядру обеспечивает полный доступ к системе и, следовательно, полную компрометацию», — говорится в их отчете. анализ.
Два рассматриваемых инструмента с открытым исходным кодом — это HookSignalTool и FuckCertVerifyTimeValidity. Эти два существуют уже около пяти лет и доступны для скачивания на GitHub. Их основная функция заключалась в том, чтобы позволить игровым читам изменять игры и получать несправедливые преимущества.
Но в данном случае китайские хакеры использовали его на ранее взломанных системах, чтобы оптимизировать дату подписи вредоносных драйверов до 29 июля 2015 года. Изменив дату, они могут использовать старые вредоносные драйверы, загрузить их в операционную систему и, таким образом, получить функции системного администратора.
Затем исследователи привели пример из практики. Они использовали HookSignTool для загрузки вредоносного драйвера RedDriver, который помог им перехватывать трафик самых популярных в мире браузеров — Chrome, Edge и Firefox. Также им удалось перехватить трафик через популярные в Китае браузеры.
«FuckCertVerifyTimeValidity работает аналогично HookSignTool, используя пакет Microsoft Detours для подключения к вызову API CertVerifyTimeValidity и установки метки времени на выбранную дату», — говорят исследователи. «В отличие от HookSignTool, FuckCertVerifyTimeValidity не оставляет артефактов в двоичном файле, который он подписывает, что очень затрудняет определение того, когда этот инструмент использовался».
Анализ: Почему это важно?
Не все уязвимости одинаковы. Некоторыми труднее злоупотребить, в то время как другие имеют рабочие эксплойты, доступные в дикой природе. Подобные уязвимости, имеющие работающий эксплойт, который может быть легко обнаружен и использован даже неквалифицированными хакерами, чрезвычайно опасны. Этот недостаток тем более опасен, что его обнаружили китайские хакеры. Эти субъекты угроз, особенно спонсируемые государством, всегда ищут новые возможности, и их целями обычно являются кибершпионаж, данные и кража личных данныхи нарушение работы важнейших систем инфраструктуры. Выявляя и блокируя эти пути, специалисты по кибербезопасности значительно улучшают общее состояние кибербезопасности крупных организаций в своих странах.
В данном конкретном случае киберпреступники используют метод под названием «Принеси свой собственный уязвимый драйвер» (BYOVD). Это популярный метод с простой предпосылкой: установить более старый драйвер с известной уязвимостью в системе, а затем использовать эту уязвимость для получения доступа, повышения привилегий и, в конечном итоге, установки вредоносного ПО.
Для защиты от этой угрозы исследователи Cisco Talos рекомендуют отозвать все вышеуказанные сертификаты. Здесь, так как ИТ-специалистам будет сложно самостоятельно обнаружить вредоносные драйверы. Кроме того, они наиболее эффективно блокируются на основе хэшей файлов или сертификатов, используемых для подписи. Исследователи также заявили, что Microsoft заблокировала все вышеперечисленные сертификаты и что пользователи могут обратиться к рекомендациям Microsoft для получения дополнительной информации.
«Microsoft реализует и поддерживает список заблокированных драйверов в Windows, хотя он фокусируется на уязвимых драйверах, а не на вредоносных», — сказали они. «Поэтому этот черный список не следует использовать исключительно для блокировки руткитов или вредоносных драйверов».
Что другие говорят о нападениях?
В своем эссе Арс Техника предварительно раскритиковал Microsoft, заявив, что проблема вредоносных драйверов, используемых в сценариях после эксплойта, будет и впредь решаться как пустяк. «Подход заключается в том, чтобы блокировать драйверы, которые, как известно, используются злонамеренно, но ничего не делать, чтобы закрыть зияющую дыру», — говорится в сообщении. «Это дает злоумышленникам свободу просто использовать новый набор драйверов, чтобы делать то же самое. Как было показано в прошлом и сегодня, Microsoft часто не может обнаружить драйверы, которые использовались злонамеренно в течение многих лет».
Однако в той же статье подчеркивается, что найти работающее решение сложно, поскольку многие уязвимые драйверы все еще используются — на законных основаниях — многими платными клиентами. «Блокировка таких драйверов может привести к внезапному прекращению работы важного программного обеспечения во всем мире».
Согласно публикации, светлое пятно на горизонте заключается в том, что система должна быть проэксплуатирована заранее, чтобы ошибка сработала. Таким образом, лучшая защита — это прежде всего не подвергаться риску.
Пищит компьютер, однако связался с Microsoft, и ему сказали, что ошибка не в получении CVE, так как компания не считает это уязвимостью. «Несмотря на то, что сертификаты, обнаруженные Cisco и Sophos, теперь отозваны, риск далек от устранения, поскольку больше сертификатов, вероятно, останется открытым или украденным, что позволит злоумышленникам продолжать использовать этот пробел в политиках Windows», — говорится в заявлении Publication. Это напоминает, что Sophos обнаружила более сотни вредоносных драйверов ядра, которые использовались как «убийцы EDR» для отключения программного обеспечения безопасности.
идти глубже
Если вы хотите узнать больше, прочитайте сначала Последние шаги от Microsoft для предотвращения таких атак с самого начала. После этого обязательно ознакомьтесь с нашим списком лучшие антивирусные программы вокруг, а также лучшее удаление вредоносных программ программы. Наконец, обязательно прочитайте наше подробное руководство по этому вопросу. Лучшие брандмауэры на сегодняшний день.
