Microsoft призналась в подписании вредоносного драйвера

Discussion in 'Мировые новости. Обсуждения.' started by seostock, 28 Jun 2021.

  1. seostock

    seostock Elder - Старейшина

    Joined:
    2 Jul 2010
    Messages:
    2,574
    Likes Received:
    6,430
    Reputations:
    51
    Компания Microsoft признала, что подписала вредоносный драйвер, который теперь распространяется в игровой среде. Драйвер под названием Netfilter на самом деле является руткитом, подключающимся к C&C-инфраструктуре с китайскими IP-адресами.

    Специалист по вредоносному ПО компании G Data Карстен Хан (Karsten Hahn) обнаружил неладное на прошлой неделе, когда система оповещения о вредоносном ПО G Data обозначила Netfilter как вредоносную программу. Хан уведомил Microsoft о проблеме взялся за отслеживание и изучение драйвера.

    Данный инцидент в очередной раз демонстрирует риски, связанные с недостаточным обеспечением безопасности цепочки поставок. На этот раз проблема связана с недочетами в используемом Microsoft процессе подписания кода.

    Как пояснил исследователь, начиная с Windows Vista, в целях обеспечения стабильности работы системы, любой код, запущенный в режиме ядра, должен быть протестирован и подписан до публичного релиза. Драйверы без сертификата Microsoft по умолчанию устанавливаться не могут.

    Как показывает анализ URL-адресов используемой Netfilter C&C-инфраструктуры, первый URL-адрес возвращает набор дополнительных маршрутов (URL), разделенных вертикальной чертой ("|"). Каждый из них играет свою роль:

    • URL-адрес, заканчивающийся на "/p", связан с настройками прокси-сервера;

    • "/s" обеспечивает закодированную переадресацию IP-адресов;

    • "/h?" предназначен для получения CPU-ID;

    • "/c" обеспечивает корневой сертификат;

    • "/v?" связан с функцией автоматического обновления вредоносного ПО.
    Исследователь G Data провел тщательный анализ драйвера и пришел к выводу, что он является вредоносным. Хан проанализировал драйвер, его функции самообновления и индикаторы компрометации (IOC) и изложил подробности в блоге.

    Примечательно, что, согласно WHOIS, IP-адрес 110.42.4.180, к которому подключается Netfilter, принадлежит компании Ningbo Zhuo Zhi Innovation Network Technology.

    В настоящее время Microsoft проводит тщательное расследование инцидента. Свидетельств того, что кто-то похитил ее сертификат для подписи кода, пока не обнаружено. Похоже, злоумышленник воспользовался процессом Microsoft по отправке драйверов и сумел легитимным образом получить подписанный Microsoft двоичный файл через программу Windows Hardware Compatibility Program.

    Microsoft приостановила действие учетной записи злоумышленника и проверила все отправленные им материалы на предмет наличия в них признаков вредоносного ПО.

    По данным компании, с помощью драйвера злоумышленник в основном нацеливался на игровой сектор, особенно в Китае, и пока нет никаких свидетельств того, что были затронуты корпоративные среды. Microsoft пока воздерживается от приписывания этого инцидента правительству какой-либо страны.

    https://www.securitylab.ru/news/521677.php
     
  2. CyberTro1n

    CyberTro1n Well-Known Member

    Joined:
    20 Feb 2016
    Messages:
    862
    Likes Received:
    647
    Reputations:
    4
    До крайности очень смешно. Что за балаклава, А?!
     
Loading...