Microsoft отзывает сертификаты, а китайские хакеры ищут новые лазейки для проведения атак.
Корпорация Microsoft заблокировала сертификаты , используемые преимущественно китайскими хакерами для подписи и загрузки вредоносных драйверов режима ядра во взломанных системах, используя лазейку в политике Windows.
Драйверы режима ядра работают с наивысшим уровнем привилегий в Windows, предоставляя полный доступ к целевой машине для скрытого сохранения, необнаруживаемой фильтрации данных и возможности завершения практически любого процесса.
Даже если на взломанном устройстве активны средства безопасности, драйвер в режиме ядра может помешать их работе, отключить расширенные возможности защиты или выполнить целевые изменения конфигурации, чтобы избежать обнаружения.
Ещё в Windows Vista корпорация Microsoft внесла изменения в политику, ограничивающие загрузку драйверов в режиме ядра Windows в операционную систему, требуя от разработчиков отправлять новые драйверы на проверку и подписывать их через портал разработчиков Microsoft.
Однако для предотвращения проблем со старыми приложениями Microsoft ввела определённые исключения, которые позволяли продолжать загрузку старых драйверов режима ядра. Среди таких исключений:
В вчерашнем отчёте Cisco Talos объясняется, что китайские злоумышленники используют последнее исключение из списка выше, используя два инструмента с открытым исходным кодом «HookSignTool» и «FuckCertVerify», чтобы изменить время подписания вредоносных драйверов на любую дату до 29 июля 2015 года.
Изменяя дату подписания, хакеры могут использовать более старые, неотозванные сертификаты для подписи своих драйверов и загрузки их в Windows для повышения привилегий.
HookSignTool — это многофункциональный инструмент, выпущенный в 2019 году на китайском форуме по взлому программного обеспечения, использующий хукинг Windows API наряду с законным средством подписи для выполнения подписи вредоносного драйвера.
Инструмент использует библиотеку Microsoft Detours для перехвата и мониторинга вызовов Win32 API и пользовательскую реализацию функции «CertVerifyTimeValidity» с именем «NewCertVerifyTimeValidity», необходимую для проверки времени.
HackSignTool требует наличия «сертификата корневого центра сертификации JemmyLoveJenny EV» для подписи файлов драйверов с меткой времени задним числом, которая доступна через веб-сайт автора инструмента.
Однако использование этого сертификата оставляет артефакты в поддельной подписи, что позволяет идентифицировать драйверы, подписанные с помощью HookSignTool.
В отдельном отчёте , также опубликованном вчера, Cisco Talos подробно описывает реальный пример вредоносного драйвера под названием RedDriver, подписанного с помощью HookSignTool.
FuckCertVerify — это еще один инструмент, используемый злоумышленниками для изменения временных меток подписи вредоносных драйверов режима ядра, который появился на GitHub в декабре 2018 года в качестве средства для взлома игр.
«FuckCertVerifyTimeValidity работает аналогично HookSignTool в том смысле, что он использует пакет Microsoft Detours для подключения к вызову API "CertVerifyTimeValidity" и устанавливает временную метку на выбранную дату», — объясняют в Cisco Talos.
«Но в отличие от HookSignTool, FuckCertVerifyTimeValidity не оставляет артефактов в двоичном файле, который он подписывает, что очень затрудняет определение того, когда использовался этот инструмент», — добавили исследователи.
Для использования обоих инструментов требуется неотозванный сертификат подписи кода, выданный до 29 июля 2015 года, когда Microsoft представила изменение политики, а также соответствующие закрытый ключ и пароль.
Исследователи Cisco обнаружили более десятка подобных сертификатов в репозиториях GitHub и на форумах на китайском языке, которые могут быть использованы в связке с этими инструментами.
В соответствующей рекомендации безопасности, опубликованной вчера , Microsoft заявляет, что компании Sophos и Trend Micro также сообщили об этой вредоносной активности наряду с Cisco Talos.
Microsoft быстро приняла меры и уже отозвала используемые злоумышленниками сертификаты, а также приостановила действие учётных записей разработчиков, злоупотребляющих этой лазейкой в политике Windows.
Кроме того, Microsoft также внедрила соответствующие средства обнаружения в фирменный Microsoft Defender (1.391.3822.0 и новее), чтобы защитить клиентов от вредоносных драйверов с поддельной подписью.
Как сообщается, Microsoft не классифицирует данное злоупотребление как уязвимость, поэтому не стала присваивать ему отдельного CVE-идентификатора. А между тем, во вчерашнем отчёте Sophos сообщается, что исследователи обнаружили обнаружили более ста вредоносных драйверов режима ядра, используемых в качестве «убийц EDR» для прекращения работы программного обеспечения безопасности, обычно защищенного от программ пользовательского режима.
Хотя сертификаты, обнаруженные вышеупомянутыми компаниями, в настоящее время отозваны, риск всё ещё существует, поскольку другие подобные сертификаты всё ещё можно найти на просторах Интернета, если знать где искать. Это может позволить киберпреступникам продолжать злоупотреблять данной лазейкой в политике безопасности Windows.
Гравитация научных фактов сильнее, чем вы думаете