Драйверы режима ядра: скрытая опасность для всех пользователей Windows

Корпорация Microsoft заблокировала сертификаты , используемые преимущественно китайскими хакерами для подписи и загрузки вредоносных драйверов режима ядра во взломанных системах, используя лазейку в политике Windows.

Драйверы режима ядра работают с наивысшим уровнем привилегий в Windows, предоставляя полный доступ к целевой машине для скрытого сохранения, необнаруживаемой фильтрации данных и возможности завершения практически любого процесса.

Даже если на взломанном устройстве активны средства безопасности, драйвер в режиме ядра может помешать их работе, отключить расширенные возможности защиты или выполнить целевые изменения конфигурации, чтобы избежать обнаружения.

Ещё в Windows Vista корпорация Microsoft внесла изменения в политику, ограничивающие загрузку драйверов в режиме ядра Windows в операционную систему, требуя от разработчиков отправлять новые драйверы на проверку и подписывать их через портал разработчиков Microsoft.

Однако для предотвращения проблем со старыми приложениями Microsoft ввела определённые исключения, которые позволяли продолжать загрузку старых драйверов режима ядра. Среди таких исключений:

• Компьютер был обновлен с более ранней версии Windows до Windows 10 версии 1607.
• Безопасная загрузка (Secure Boot) отключена в BIOS.
• Драйверы были подписаны сертификатом конечного объекта, выданным до 29 июля 2015 года, который привязан к поддерживаемому центру сертификации с перекрестной подписью.

В вчерашнем отчёте Cisco Talos объясняется, что китайские злоумышленники используют последнее исключение из списка выше, используя два инструмента с открытым исходным кодом «HookSignTool» и «FuckCertVerify», чтобы изменить время подписания вредоносных драйверов на любую дату до 29 июля 2015 года.

Изменяя дату подписания, хакеры могут использовать более старые, неотозванные сертификаты для подписи своих драйверов и загрузки их в Windows для повышения привилегий.

HookSignTool — это многофункциональный инструмент, выпущенный в 2019 году на китайском форуме по взлому программного обеспечения, использующий хукинг Windows API наряду с законным средством подписи для выполнения подписи вредоносного драйвера.

Инструмент использует библиотеку Microsoft Detours для перехвата и мониторинга вызовов Win32 API и пользовательскую реализацию функции «CertVerifyTimeValidity» с именем «NewCertVerifyTimeValidity», необходимую для проверки времени.

HackSignTool требует наличия «сертификата корневого центра сертификации JemmyLoveJenny EV» для подписи файлов драйверов с меткой времени задним числом, которая доступна через веб-сайт автора инструмента.

Однако использование этого сертификата оставляет артефакты в поддельной подписи, что позволяет идентифицировать драйверы, подписанные с помощью HookSignTool.

В отдельном отчёте , также опубликованном вчера, Cisco Talos подробно описывает реальный пример вредоносного драйвера под названием RedDriver, подписанного с помощью HookSignTool.

FuckCertVerify — это еще один инструмент, используемый злоумышленниками для изменения временных меток подписи вредоносных драйверов режима ядра, который появился на GitHub в декабре 2018 года в качестве средства для взлома игр.

«FuckCertVerifyTimeValidity работает аналогично HookSignTool в том смысле, что он использует пакет Microsoft Detours для подключения к вызову API "CertVerifyTimeValidity" и устанавливает временную метку на выбранную дату», — объясняют в Cisco Talos.

«Но в отличие от HookSignTool, FuckCertVerifyTimeValidity не оставляет артефактов в двоичном файле, который он подписывает, что очень затрудняет определение того, когда использовался этот инструмент», — добавили исследователи.

Для использования обоих инструментов требуется неотозванный сертификат подписи кода, выданный до 29 июля 2015 года, когда Microsoft представила изменение политики, а также соответствующие закрытый ключ и пароль.

Исследователи Cisco обнаружили более десятка подобных сертификатов в репозиториях GitHub и на форумах на китайском языке, которые могут быть использованы в связке с этими инструментами.

В соответствующей рекомендации безопасности, опубликованной вчера , Microsoft заявляет, что компании Sophos и Trend Micro также сообщили об этой вредоносной активности наряду с Cisco Talos.

Microsoft быстро приняла меры и уже отозвала используемые злоумышленниками сертификаты, а также приостановила действие учётных записей разработчиков, злоупотребляющих этой лазейкой в политике Windows.

Кроме того, Microsoft также внедрила соответствующие средства обнаружения в фирменный Microsoft Defender (1.391.3822.0 и новее), чтобы защитить клиентов от вредоносных драйверов с поддельной подписью.

Как сообщается, Microsoft не классифицирует данное злоупотребление как уязвимость, поэтому не стала присваивать ему отдельного CVE-идентификатора. А между тем, во вчерашнем отчёте Sophos сообщается, что исследователи обнаружили обнаружили более ста вредоносных драйверов режима ядра, используемых в качестве «убийц EDR» для прекращения работы программного обеспечения безопасности, обычно защищенного от программ пользовательского режима.

Хотя сертификаты, обнаруженные вышеупомянутыми компаниями, в настоящее время отозваны, риск всё ещё существует, поскольку другие подобные сертификаты всё ещё можно найти на просторах Интернета, если знать где искать. Это может позволить киберпреступникам продолжать злоупотреблять данной лазейкой в политике безопасности Windows.