Если Microsoft можно обмануть, насколько мы в безопасности?
В последнее время Microsoft была в новостях из-за анонса Windows 11 24 июня этого года. Но это не единственная причина, по которой это стало темой для обсуждения среди людей. Есть несколько других причин, таких как множество выпущенных обновлений и недавно обнаруженная информация о вредоносном ПО.
Microsoft Security Response Center (MSRC) признал, что он принял драйвер, содержащий вредоносное Rootkit Malware, которое обменивается данными с серверами управления (C2) в Китае. Похоже, что некоторые злоумышленники обманом заставили гиганта из Редмонда подписать драйвер Netfilter, который был разработан для игровых сред. Драйвер использовался, чтобы скрыть геолокацию игрока и играть из любого региона.
Первый экземпляр этого вредоносного ПО был обнаружен Карстеном Ханом, аналитиком вредоносного ПО из немецкой компании G Data, занимающейся кибербезопасностью. «Начиная с Windows Vista, любой код, работающий в режиме ядра, необходимо протестировать и подписать перед общедоступным выпуском, чтобы обеспечить стабильность операционной системы». – заявил Хан. «Драйверы без сертификата Microsoft не могут быть установлены по умолчанию», – продолжил он.
Как работало это вредоносное ПО?
MSRC объяснила, что люди со злым умыслом использовали это вредоносное ПО для эксплуатации других игроков и взлома их учетных данных с помощью кейлоггера. Они также могли взломать другую информацию, включая данные дебетовой / кредитной карты и адреса электронной почты.
Интересно отметить, что Netfilter – это законный пакет приложений, который позволяет пользователям включать фильтрацию пакетов и преобразовывать сетевые адреса. Он также может добавлять новые корневые сертификаты, настраивать новый прокси-сервер и помогать изменять настройки Интернета.
После того, как пользователи установили это приложение в своей системе, оно подключилось к серверу C2 для получения информации о конфигурации и обновлений. Microsoft также объяснила, что методы, использованные в атаке, происходят после эксплуатации, что означает, что противник должен сначала получить административные привилегии, а затем установить драйвер во время запуска системы.
«Сфера безопасности продолжает быстро развиваться, поскольку злоумышленники находят новые и инновационные методы для получения доступа к средам в широком диапазоне векторов», – заявили в MSRC.
Хан был главным человеком, которому приписывают обнаружение вредоносного ПО, но позже к нему присоединились другие исследователи вредоносного ПО, в том числе Иоганн Айдинбас, Такахиро Харуяма и Флориан Рот. Он был обеспокоен процессом подписания кода Microsoft и сомневался, есть ли другие вредоносные программы, скрытые с помощью утвержденного набора драйверов Microsoft.
Порядок действий злоумышленников
Как только Microsoft была проинформирована, она предприняла все необходимые шаги для расследования инцидента и принятия превентивных мер, чтобы предотвратить его повторение. Microsoft заявила, что нет никаких доказательств того, что использовались украденные сертификаты для подписи кода. Люди, стоящие за этой вредоносной программой, следовали законному процессу отправки драйверов на серверы Microsoft, а также приобрели подписанный двоичный файл Microsoft на законных основаниях.
Microsoft заявила, что драйверы были созданы сторонним разработчиком и отправлены на утверждение через программу совместимости оборудования Windows. После этого инцидента Microsoft приостановила действие учетной записи, отправившей этот драйвер, и начала рассматривать все материалы, отправленные этой учетной записью, в первоочередном порядке.
Кроме того, Microsoft заявила, что уточнит свои политики доступа для партнеров, а также процесс проверки и подписания для дальнейшего повышения защиты.
Заключительные пункты о том, что Microsoft принимает подписание в драйвере Netfilter, который был загружен с помощью Rootkit Malware
Microsoft утверждает, что вредоносная программа была создана для атаки на игровой сектор в Китае и, по всей видимости, является делом рук лишь нескольких человек. Нет никаких соединений, которые связывают организацию или предприятие с вредоносным ПО. Однако следует понимать, что любые такие вводящие в заблуждение двоичные файлы могут быть использованы кем угодно для запуска крупномасштабного программного обеспечения.
атака. В прошлом подобным атакам способствовали, как атака Stuxnet, направленная на ядерную программу Ирана. Это произошло потому, что сертификаты, используемые для подписи кода, были украдены у Realtek и JMicron.
Поскольку Microsoft готовится к запуску Windows 11, этот инцидент действительно ставит под сомнение безопасность, которую Microsoft обеспечивает для своих операционных систем. Что вы думаете? Пожалуйста, поделитесь своими мыслями в разделе комментариев ниже.
