Компания Microsoft предупредила, что некоторые драйверы, сертифицированные в рамках программы Windows Hardware Developer Program (MWHDP), используются с вредоносными целями. Исследователь безопасности Cisco Talos заявил, что число вредоносных драйверов может исчисляться тысячами.
Начиная с Windows Vista 64-bit, для борьбы с угрозой вредоносных драйверов Microsoft начала требовать, чтобы сторонние драйверы были подписаны цифровым сертификатом от проверенного центра сертификации. Без применения подписи драйверы было бы крайне сложно защитить, поскольку они могли бы легко обходить антивирусное ПО.
Начиная с Windows 10 версии 1607, Microsoft требует, чтобы драйверы подписывались на портале разработчиков.
«Этот процесс призван обеспечить соответствие драйверов требованиям и стандартам безопасности Microsoft»
Однако есть и исключения – в частности, для драйверов, подписанных сертификатами, срок действия которых истек или которые были выпущены до 29 июля 2015 г.
Если новый скомпилированный драйвер подписан не отозванными сертификатами, выпущенными до этой даты, он не будет заблокирован.
«В результате было разработано множество инструментов с открытым исходным кодом для использования этой лазейки»
Компания Sophos обнаружила более 100 вредоносных драйверов, Cisco Talos «заметила, что многочисленные угрожающие субъекты воспользовались вышеупомянутой лазейкой в политике Windows для установки тысяч вредоносных подписанных драйверов без предоставления их в Microsoft для проверки».
Подделка временных меток
Инженер Cisco сообщил, что два инструмента для подделки временных меток, которые являются популярными способами разработки игровых читов, теперь используются злоумышленниками для создания вредоносных драйверов. Это инструменты FuckCertVerifyTimeValidity, который был запущен в 2018 году, и HookSignTool, доступный с 2019 года.
«Для успешной подделки подписи HookSignTool и FuckCertVerifyTimeValidity требуют не отозванный сертификат подписи кода, срок действия которого истек или который был выпущен до 29 июля 2015 г., а также закрытый ключ и пароль. В ходе нашего исследования мы обнаружили PFX-файл, размещенный на GitHub в форке FuckCertVerifyTimeValidity, который содержал более десятка просроченных сертификатов подписи кода, часто используемых в обоих инструментах для подделки подписей».
Оба инструмента представляют серьезную угрозу, поскольку вредоносные драйверы могут предоставить злоумышленникам доступ к системе на уровне ядра.
«Microsoft, в ответ на наше уведомление, заблокировала все сертификаты, о которых идет речь в этой записи»
- отметил он
Пример из реального мира
В отдельном сообщении блога Нил описал один из примеров этой угрозы – вредоносный драйвер под названием RedDriver, действующий по крайней мере с 2021 года.
«Обход политик внедрения подписей драйверов с помощью HookSignTool позволяет pkjevsiktyybre разработать драйверы, которые в противном случае были бы заблокированы. RedDriver – реальный пример эффективного использования этого инструмента во вредоносном контексте. В ходе исследования HookSignTool компания Cisco Talos обнаружила развертывание недокументированного вредоносного драйвера, использующего украденные сертификаты для подделки временных меток подписи, что позволяет эффективно обходить политики принудительного применения подписи драйвера в Windows… RedDriver является критическим компонентом многоступенчатой цепочки заражения, которая в конечном итоге перехватывает трафик браузера и перенаправляет его на localhost (127.0.0.1). На момент публикации конечная цель такого перенаправления трафика браузера неясна. Однако, независимо от намерений, это представляет значительную угрозу для любой системы, зараженной RedDriver, поскольку позволяет подделать весь трафик, проходящий через браузер.»
Защита от подписанных драйверов
Нил рекомендует блокировать указанные сертификаты, «поскольку вредоносные драйверы трудно обнаружить эвристическим путем и наиболее эффективно блокировать их на основе хэшей файлов или сертификатов, используемых для их подписи. Сравнение временной метки подписи с датой компиляции драйвера иногда может быть эффективным средством обнаружения случаев подделки временной метки. Однако важно отметить, что дата компиляции может быть изменена, чтобы соответствовать временным меткам подписи.»
По словам инженерного отдела Cisco, хорошая новость заключается в том, что все это можно предотвратить. «Microsoft предлагает несколько способов, таких как Windows Defender Application Control, для предотвращения нежелательной установки драйверов и программного обеспечения», – сказал он. «Пользователям просто нужно изучить, как они работают, и включить их. Тогда вся эта угроза исчезнет.»
Комментарии (0)