微软周二透露,它已采取措施实施阻止保护措施,并暂停用于发布经其 Windows硬件开发人员计划认证的恶意驱动程序的帐户。
这家科技巨头表示,其调查显示该活动仅限于一些开发者计划账户,并且没有发现进一步的妥协。
加密签名恶意软件之所以令人担忧,不仅因为它不仅破坏了关键的安全机制,而且还允许威胁行为者颠覆传统的检测方法并渗透到目标网络以执行高特权操作。
Redmond 表示,该调查是在收到网络安全公司 Mandiant、SentinelOne 和 Sophos 于 2022 年 10 月 19 日通知流氓驱动程序用于后期开发工作(包括部署勒索软件)后启动的。
这些攻击的一个值得注意的方面是,对手在使用驱动程序之前已经获得了受感染系统的管理权限。
“微软合作伙伴中心的几个开发者账户参与了提交恶意驱动程序以获得微软签名,”微软解释说。“2022 年 9 月 29 日再次尝试提交恶意驱动程序进行签名,导致卖家账户在 10 月初被暂停。”
根据 Sophos 的一项分析,与Cuba 勒索软件(又名 COLDDRAW)相关的威胁行为者植入了一个恶意签名的驱动程序,试图通过一种名为 BURNTCIGAR 的新型恶意软件加载程序禁用端点检测工具,但失败了,该加载程序由 Mandiant 于 2022 年 2 月首次披露。
该公司还确定了三个由代码签名证书签名的驱动程序变体,这些证书属于两家中国公司,珠海联诚科技和北京中恒影像科技。
使用签名驱动程序背后的原因是,它为威胁参与者提供了一种绕过关键安全措施的方法,这些安全措施要求对内核模式驱动程序进行签名,以便 Windows 加载程序包。更重要的是,该技术滥用了微软认证驱动程序中事实上的信任安全工具来为他们谋取利益。
Sophos 研究人员 Andreas Klopsch 和 Andrew Brandt表示: “威胁行为者正在沿着信任金字塔攀升,试图使用越来越受信任的加密密钥对他们的驱动程序进行数字签名。 ” “来自大型、值得信赖的软件发行商的签名使驱动程序更有可能毫无障碍地加载到 Windows 中。”
谷歌旗下的 Mandiant 在一份协调披露中表示,它观察到一个名为 UNC3944 的出于经济动机的威胁组织使用一个名为 STONESTOP 的加载程序来安装一个名为 POORTRY 的恶意驱动程序,该驱动程序旨在终止与安全软件相关的进程并删除文件。
威胁情报和事件响应公司指出,它“不断观察到威胁行为者使用受损、被盗和非法购买的代码签名证书来签署恶意软件”,并指出“与不同威胁行为者相关的几个不同的恶意软件家族已经被签署有了这个过程。”
这导致这些黑客组织可能利用犯罪服务进行代码签名(即,恶意驱动程序签名即服务),其中提供者代表参与者通过 Microsoft 的证明过程获得恶意软件工件的签名。
SentinelOne表示,据说 UNC3944 在针对电信、BPO、MSSP、金融服务、加密货币、娱乐和运输部门的攻击中使用了 STONESTOP 和 POORTRY,并添加了一个不同的威胁参与者,该威胁参与者使用了导致部署的类似签名驱动程序蜂巢勒索软件。
SentinelOne 确定的入侵集也可能与由 CrowdStrike 跟踪的威胁行为者精心策划的“持续”活动重叠,该活动被 CrowdStrike 跟踪为自 2022 年 6 月以来针对相同行业的Scattered Spider ,其目标是渗透移动网络以提供 SIM 卡交换服务。
当联系到 SentinelOne 征求意见时,SentinelOne 告诉 The Hacker News,“相似的目标、TTP 和恶意软件表明可能与此活动有关”,但强调它无法证实这项研究,并且它没有“没有进一步的细节”在这个时候分享。
作为其 2022 年 12 月补丁星期二更新的一部分,微软此后撤销了受影响文件的证书并暂停了合作伙伴的卖家账户以应对威胁。
这不是第一次滥用数字证书来签署恶意软件。去年,一个经微软认证的Netfilter 驱动程序被证明是一个恶意的 Windows rootkit,它被观察到与位于中国的命令和控制 (C2) 服务器通信。
然而,这不仅仅是 Windows 的现象,因为谷歌本月公布的调查结果表明,由三星和 LG 等安卓设备制造商管理的受损平台证书已被用于签署通过非官方渠道分发的恶意应用程序。
近几个月来,滥用签名驱动 程序破坏安全软件的现象也越来越多。这种攻击称为自带易受攻击的驱动程序 (BYOVD),涉及利用包含已知缺陷的合法驱动程序来提升权限并执行妥协后操作。
微软在 10 月下旬表示,它将默认为所有安装 Windows 11 2022 更新的设备启用易受攻击的驱动程序黑名单(存储在“DriverSiPolicy.p7b”文件中),同时验证它在不同操作系统版本中是否相同,遵循 Ars Technica报告强调了更新 Windows 10 机器的黑名单时的不一致。
“代码签名机制是现代操作系统的一个重要特征,”SentinelOne 说。“驱动程序签名实施的引入是多年来阻止 rootkit 浪潮的关键。代码签名的有效性下降代表了对所有操作系统层的安全和验证机制的威胁。”
