微软遭具有合法签章的恶意驱动程序入侵

近日，Google云端旗下的网络安全公司Mandiant以及SentinelOne联手调查，发现多个可终止Windows系统上特定程序的恶意驱动程序。研究人员提到，在这种情况，恶意驱动程序通常会尝试终止端点的侦测和回应代理（EDR）。不过，这项攻击更大的问题在于，该恶意驱动程序拥有由微软Windows硬体开发人员计划认证的合法签章。

这个恶意程序带有微软Windows硬体相容性计划Authenticode签章的POORTRY驱动程序样本。研究人员仔细分析了该驱动程序的Authenticode后设资料，发现该恶意驱动程序是由Windows硬体相容性计划签署。也就是说，恶意驱动程序是由微软直接签署，而且研究人员还发现几个与不同攻击者关联的恶意软体家族，也已经透过这项程序进行签署。研究人员确定至少有9个组织利用这项非法手法，生成恶意驱动程序。

驱动程序签章是Windows作业系统的重要安全功能，其要求驱动程序需要拥有有效的加密签章，才能被载入到系统中，也就是该签章将开发人员核准为可信任的实体，而这些开发人员的程序码，同样为可信任。

研究人员提到，这种验证方式对打击核心模式Rootkit攻击非常重要，核心模式Rootkit是能够以最高权限运作的恶意软体，微软从侦测到根除核心模式Rootkit，历经了长期努力。开发人员的驱动程序要能获得Windows硬体品质实验室（WHQL）签章，需满足一组特殊标准。这个过程需要严格的检查，以确保请求的开发人员是真实存在，且没有提交恶意驱动程序。

开发人员首先必须获得扩充验证（Extended Validation，EV）凭证，并在注册Windows硬体开发人员计划后，将其附加到帐户中。EV凭证要求开发人员将私钥储存在物理的权杖上，并执行一系列检查以验证请求组织的身分。

完成之后开发人员必须透过合作伙伴入口，提交驱动程序套件进行一系列测试和签署，确保相容性且不存在任何恶意意图。在通过测试后，微软便会使用Windows Hardware Compatibility Publisher凭证对其进行签署。

研究人员表示，这个过程的主要问题，是来自于大多数安全解决方案信任微软签章的任何内容，尤其是核心模式驱动程序。虽然微软在Windows 10开始，要求开发人员使用Windows硬体开发人员中心仪表板入口，对所有核心模式驱动程序进行签章，任何未通过该程序的内容都无法载入到新的Windows版本中。

即便这项新要求强化了驱动程序的控制和可见性，但是攻击者透过开发驱动程序，并且使驱动程序在微软的审查过程无法发现其恶意意图，进而玩弄这个程序。

微软已经完成该事件调查，判断该恶意攻击行动只涉及几个遭滥用的开发人员计划帐户，微软已经将合作伙伴的卖方帐户暂时停权，并执行进一步侦测措施，避免往后又出现合法签署的恶意驱动程序。微软建议使用者安装最新的Windows更新，并且更新防毒和端点侦测产品至最新状态，同时启用最新签章，以防范相关攻击。