Dezvoltatorii sistemelor de operare oferă semnarea codului pentru a te ajuta să stai la distanță de un software ostil. Gafa Microsoft recentă: semnătura digitală ar fi fost una coruptă

Microsoft a autorizat, dintr-o eroare, un driver de Windows care era, în realitate, un malware de tip rootkit, permițând astfel instalarea acestuia pe PC-uri.

Numit “Netfilter”, malware-ul deghizat trimitea date către anumite servere din China. Autorizarea este necesară de la Vista încoace pentru software-ul de Windows care necesită acces la kernel-ul sistemului de operare.

Karsten Hahn, analistul malware malware G Data, a luat cunoștință de acest eveniment săptămâna trecută și i s-a alăturat comunității lărgite de infosecuritate în urmărirea și analizarea driverelor rău intenționate care poartă sigiliul Microsoft.

Bandele de ransomware creează acum site-uri web pentru a recruta afiliați.
Acest incident a expus încă o dată amenințări la adresa securității lanțului de aprovizionare cu software, cu excepția faptului că de data aceasta a rezultat dintr-o slăbiciune a procesului de semnare a codului Microsoft.

Driverul „Netfilter” este rootkit semnat de Microsoft.
Săptămâna trecută, sistemele de alertă pentru securitate cibernetică ale G Data au semnalat ceea ce părea a fi fals pozitiv, dar nu – un driver semnat de Microsoft numit „Netfilter”.

Driverul în cauză a fost văzut comunicând cu IP-urile C&C din China, care nu furnizau funcționalități legitime și, ca atare, au ridicat suspiciuni.

Acesta este momentul în care Karsten Hahn, analistul malware-ului G Data, a distribuit acest lucru public și a contactat simultan Microsoft:

Microsoft semnalează un driver de filtru de rețea malware.
Binarul rău intenționat a fost semnat de Microsoft (VirusTotal).
„De la Windows Vista, orice cod care rulează în modul kernel trebuie testat și semnat înainte de lansarea publică pentru a asigura stabilitatea sistemului de operare.”

„Driverele fără certificat Microsoft nu pot fi instalate în mod implicit”, afirmă Hahn.

La acel moment, BleepingComputer a început să observe comportamentul adreselor URL C2 și, de asemenea, a contactat Microsoft pentru o declarație.

Prima adresă URL C2 returnează un set de mai multe rute (URL-uri) separate prin simbolul pipe („|”):

primul răspuns c2
Navigarea la adresa URL C2 prezintă mai multe rute în scopuri diferite
Sursa: BleepingComputer

Fiecare dintre acestea servește unui scop, potrivit lui Hahn:

Adresa URL care se termină cu „/ p” este asociată cu setările proxy,
„/ s” oferă IP-uri de redirecționare codificate,
„/ h?” este pentru a primi CPU-ID,
„/ c” a furnizat un certificat rădăcină și
„/ v?” este legat de funcționalitatea de auto-actualizare a malware-ului.
Așa cum este văzut de BleepingComputer, de exemplu, „/ v?” calea a furnizat adresa URL a driverului de malware Netfilter în cauză (care locuiește la „/ d3”):

calea către malware binar
Calea către driverul Netfilter rău intenționat
Sursa: BleepingComputer
Cercetătorul G Data a petrecut un timp suficient analizând driverul și a concluzionat că este malware.

Cercetătorul a analizat driverul, funcționalitatea sa de auto-actualizare și Indicatorii de compromis (IOC) într-o postare detaliată pe blog.

„Eșantionul are o rutină de auto-actualizare care trimite propriul hash MD5 către server prin hxxp: //110.42.4.180: 2081 / v? V = 6 & m =”, spune Hahn.

Un exemplu de cerere ar arăta astfel:

hxxp: //110.42.4.180: 2081 / v? v = 6 & m = 921fa8a5442e9bf3fe727e770cded4ab
„Serverul răspunde apoi cu adresa URL a celui mai recent eșantion, de ex. Hxxp: //110.42.4.180: 2081 / d6 sau cu„ OK ”dacă eșantionul este actualizat. Programul malware își înlocuiește propriul fișier în consecință,” mai departe a explicat cercetătorul.

funcționalitate de auto-actualizare
Funcționalitatea de auto-actualizare a malware-ului analizată de G Data
Pe parcursul analizei sale, lui Hahn i s-au alăturat și alți cercetători în malware, inclusiv Johann Aydinbas, Takahiro Haruyama și Florian Roth.

Roth a reușit să adune lista eșantioanelor într-o foaie de calcul și a furnizat reguli YARA pentru detectarea acestora în mediile dvs. de rețea.

În special, IP-ul C2 110.42.4.180 la care se conectează driverul malware Netfilter aparținea Ningbo Zhuo Zhi Innovation Network Technology Co., Ltd, conform înregistrărilor WHOIS:

înregistrare whois pentru 110.42.4.180
Căutare WHOIS pentru adresa IP (BleepingComputer)
Microsoft admite că a semnat driverul rău intenționat
Microsoft investighează activ acest incident, deși până în prezent nu există dovezi că s-au folosit certificate de semnare a codului furate.

Nefericirea pare să fi rezultat din actorul amenințării în urma procesului Microsoft de a trimite driverele Netfilter rău intenționate și a reușit să achiziționeze binarul semnat de Microsoft într-un mod legitim:

„Microsoft investighează un actor rău intenționat care distribuie drivere rău intenționate în mediile de jocuri.”

„Actorul a trimis driverele pentru certificare prin Programul de compatibilitate hardware Windows. Driverele au fost construite de o terță parte.”

„Am suspendat contul și le-am examinat trimiterile pentru semne suplimentare de malware”, a declarat Microsoft ieri.

Potrivit Microsoft, actorul amenințării a vizat în principal sectorul jocurilor, în special în China, cu acești șoferi rău intenționați și nu există nicio indicație a faptului că mediile de afaceri au fost afectate până acum.

Microsoft s-a abținut să atribuie acest incident actorilor statului național încă.

Binarele semnate fals pot fi abuzate de actori de amenințare sofisticate pentru a facilita atacurile pe scară largă în lanțul de aprovizionare cu software.

Sursa: https://www.bleepingcomputer.com/news/security/microsoft-admits-to-signing-rootkit-malware-in-supply-chain-fiasco/