最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

用于勒索软件攻击的Microsoft签名恶意Windows驱动程序

网络安全 快米云 来源:快米云 201浏览

火灾中的微软标志

在通过配置文件签名的驱动程序被用于网络攻击(包括勒索软件事件)后,微软撤销了多个微软硬件开发者帐户。

该消息来自 微软、  Mandiant、  Sophos和 SentinelOne之间的协调披露。研究人员解释说,威胁行为者正在利用恶意内核模式硬件驱动程序,其信任已通过 Microsoft Windows 硬件开发人员计划的 Authenticode 签名验证。

“微软获悉,经过微软 Windows 硬件开发人员计划认证的驱动程序在后期开发活动中被恶意使用。在这些攻击中,攻击者在使用驱动程序之前已经获得了受感染系统的管理权限,”微软的公告解释说.

“我们在 2022 年 10 月 19 日收到了 SentinelOne、Mandiant 和 Sophos 的这一活动通知,随后对这一活动进行了调查。”

“这项调查显示,微软合作伙伴中心的几个开发者账户参与了提交恶意驱动程序以获得微软签名的活动。”

“2022 年 9 月 29 日再次尝试提交恶意驱动程序进行签名,导致卖家账户在 10 月初被暂停。”

签署内核模式驱动程序

在 Windows 中加载内核模式硬件驱动程序时,它们会获得操作系统的最高权限级别。

这些特权可能允许驱动程序执行用户模式应用程序通常不允许的各种恶意任务。这些操作包括终止安全软件、删除受保护的文件以及充当 rootkit 以隐藏其他进程。

从 Windows 10 开始,Microsoft 要求通过 Microsoft 的 Windows 硬件开发人员计划对内核模式硬件驱动程序进行签名。

由于开发者需要购买扩展验证(EV)证书,通过身份验证流程,并提交经过微软审核的驱动程序,因此许多安全平台自动信任微软通过该程序签名的代码。

出于这个原因,微软签署内核模式驱动程序以在恶意活动中使用它的能力是一种宝贵的商品。

通过 Windows 硬件兼容性程序签署驱动程序
通过 Windows 硬件兼容性程序对驱动程序进行签名
来源:news.zzqidc.com

用于终止安全软件的工具包

在今天发布的报告中,研究人员解释了他们如何发现一个新的工具包,该工具包由两个名为 STONESTOP(加载程序)和 POORTRY(内核模式驱动程序)的组件组成,用于“自带易受攻击的驱动程序”(BYOVD)攻击。

根据 Mandiant 和 SentinelOne 的说法,STONESTOP 是一种用户模式应用程序,它试图终止设备上的端点安全软件进程。另一个变体包括覆盖和删除文件的能力。 

由于安全软件进程通常受到保护,不会被常规应用程序篡改,STONESTOP 加载由微软签名的 POORTRY 内核模式驱动程序,以终止相关的受保护进程或 Windows 服务。

SentinelLabs 报告解释说:“STONESTOP 既是 POORTRY 的加载程序/安装程序,也是指导驱动程序执行什么操作的协调器。”

微软签名的 POORTRY 驱动程序
微软签名的 POORTRY 驱动
来源:news.zzqidc.com

与勒索软件和 SIM 交换程序相关联

这三家公司已经看到了不同威胁参与者使用的工具包。

Sophos 的 Rapid Response 团队在黑客可以分发最终有效负载之前结束了事件响应参与中的攻击。

但是,Sophos 将此次攻击“高度信任”归因于Cuba 勒索软件操作,该操作之前使用了该恶意软件的变体。

“在 Sophos 调查的事件中,与 Cuba 勒索软件相关的威胁行为者使用 BURNTCIGAR 加载程序实用程序安装使用 Microsoft 证书签名的恶意驱动程序,”Sophos 解释说。

SentinelOne 还看到这个微软签名的工具包被用于攻击电信、BPO、MSSP 和金融服务企业。在一个案例中,他们看到Hive 软件使用它来攻击一家医疗行业的公司。

“值得注意的是,SentinelLabs 观察到一个单独的威胁参与者也使用了类似的 Microsoft 签名驱动程序,这导致针对医疗行业的目标部署了 Hive 勒索软件,这表明可以访问类似工具的各种参与者更广泛地使用了这种技术,” SentinelLabs 的研究人员解释说。

另一方面,Mandiant 早在 2022 年 8 月就发现了一个被识别为 UNC3944 的威胁参与者利用该工具包进行攻击,该威胁参与者以 SIM 卡交换攻击而闻名。

“Mandiant 观察到 UNC3944 利用通过证明签名过程签名的恶意软件。UNC3944 是一个出于经济动机的威胁组织,至少自 2022 年 5 月以来一直活跃,通常使用从 SMS 网络钓鱼操作中获得的被盗凭据获得初始网络访问权限,”详细说明曼迪安特的报告。

由于许多威胁集群都在使用签名的驱动程序,目前尚不清楚它们是如何获得类似的 Microsoft 签名工具包以用于攻击的。

Mandiant 和 SentinelOne 都认为该工具包,或者至少是代码签名,来自其他威胁参与者付费访问的供应商或服务。

“支持‘供应商’理论的其他证据源于驱动程序的相似功能和设计。虽然它们被两个不同的威胁参与者使用,但它们的功能非常相似。这表明它们可能是由同一个人开发的随后出售给其他人使用。” -哨兵一号。
“Mandiant 之前曾观察到疑似团体利用常见的犯罪服务进行代码签名的情况。这不是新现象,2017 年马里兰大学的 Certified Malware 项目记录了这一点。这就是 Mandiant 的看法这些可疑的证明签名驱动程序和相关 EV 签名样本正在发生。” – 强制性的。

Mandiant 表示他们可以提取以下用于签署驱动程序提交给 Microsoft 的组织名称。

Qi Lijun
Luck Bigger Technology Co., Ltd
XinSing Network Service Co., Ltd
Hangzhou Shunwang Technology Co.,Ltd
Fuzhou Superman
Beijing Hongdao Changxing International Trade Co., Ltd.
Fujian Altron Interactive Entertainment Technology Co., Ltd.
Xiamen Hengxin Excellence Network Technology Co., Ltd.
Dalian Zongmeng Network Technology Co., Ltd.

微软的回应

Microsoft 已发布安全更新以吊销恶意文件使用的证书,并已暂停用于提交要签名的驱动程序的帐户。

新的 Microsoft Defender 签名 (1.377.987.0) 也已发布,用于在后开发攻击中检测合法签名的驱动程序。

微软解释说:“微软正在与微软主动保护计划 (MAPP) 合作伙伴合作,以帮助开发进一步的检测并更好地保护我们的共同客户。”

“微软合作伙伴中心也在研究长期解决方案,以解决这些欺骗性做法并防止未来对客户造成影响。”

但是,微软尚未透露恶意驱动程序最初是如何通过审查流程的。

BleepingComputer 已就咨询和审查过程的进一步问题联系了微软,但微软表示他们没有进一步的信息可以分享。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 用于勒索软件攻击的Microsoft签名恶意Windows驱动程序