近日,Google云端旗下的网络安全公司Mandiant以及SentinelOne联手调查,发现多个可终止Windows系统上特定程序的恶意驱动程序。研究人员提到,在这种情况,恶意驱动程序通常会尝试终止端点的侦测和回应代理(EDR)。不过,这项攻击更大的问题在于,该恶意驱动程序拥有由微软Windows硬体开发人员计划认证的合法签章。
这个恶意程序带有微软Windows硬体相容性计划Authenticode签章的POORTRY驱动程序样本。研究人员仔细分析了该驱动程序的Authenticode后设资料,发现该恶意驱动程序是由Windows硬体相容性计划签署。也就是说,恶意驱动程序是由微软直接签署,而且研究人员还发现几个与不同攻击者关联的恶意软体家族,也已经透过这项程序进行签署。研究人员确定至少有9个组织利用这项非法手法,生成恶意驱动程序。
驱动程序签章是Windows作业系统的重要安全功能,其要求驱动程序需要拥有有效的加密签章,才能被载入到系统中,也就是该签章将开发人员核准为可信任的实体,而这些开发人员的程序码,同样为可信任。
研究人员提到,这种验证方式对打击核心模式Rootkit攻击非常重要,核心模式Rootkit是能够以最高权限运作的恶意软体,微软从侦测到根除核心模式Rootkit,历经了长期努力。开发人员的驱动程序要能获得Windows硬体品质实验室(WHQL)签章,需满足一组特殊标准。这个过程需要严格的检查,以确保请求的开发人员是真实存在,且没有提交恶意驱动程序。
开发人员首先必须获得扩充验证(Extended Validation,EV)凭证,并在注册Windows硬体开发人员计划后,将其附加到帐户中。EV凭证要求开发人员将私钥储存在物理的权杖上,并执行一系列检查以验证请求组织的身分。
完成之后开发人员必须透过合作伙伴入口,提交驱动程序套件进行一系列测试和签署,确保相容性且不存在任何恶意意图。在通过测试后,微软便会使用Windows Hardware Compatibility Publisher凭证对其进行签署。
研究人员表示,这个过程的主要问题,是来自于大多数安全解决方案信任微软签章的任何内容,尤其是核心模式驱动程序。虽然微软在Windows 10开始,要求开发人员使用Windows硬体开发人员中心仪表板入口,对所有核心模式驱动程序进行签章,任何未通过该程序的内容都无法载入到新的Windows版本中。
即便这项新要求强化了驱动程序的控制和可见性,但是攻击者透过开发驱动程序,并且使驱动程序在微软的审查过程无法发现其恶意意图,进而玩弄这个程序。
微软已经完成该事件调查,判断该恶意攻击行动只涉及几个遭滥用的开发人员计划帐户,微软已经将合作伙伴的卖方帐户暂时停权,并执行进一步侦测措施,避免往后又出现合法签署的恶意驱动程序。微软建议使用者安装最新的Windows更新,并且更新防毒和端点侦测产品至最新状态,同时启用最新签章,以防范相关攻击。
往期推荐
2022-12-15
2022-12-14
2022-12-13
注:本文由E安全编译报道,转载请联系授权并注明来源。
还没有评论,来说两句吧...