微软以数字方式标记恶意rootkit驱动程序

189

微软公司和外部研究人员表示,微软对一个解密加密通信并将其发送到攻击者控制的服务器的rootkit给予了数字标记。

这一失误使该恶意软件被安装在Windows机器上,而用户没有收到安全警告或必须采取额外步骤。在过去的13年中,微软要求在Windows内核中运行的第三方驱动程序和其他代码必须经过测试并由操作系统制造商进行数字签名,以确保稳定性和安全性。没有微软的证书,这些类型的程序就不能默认安装。

窃听SSL连接

本月早些时候,安全公司G Data的研究员卡斯滕-哈恩发现,他公司的恶意软件检测系统标记了一个名为Netfilter的驱动程序。他最初认为这个检测是错误的,因为微软已经根据该公司的Windows硬件兼容计划对Netfilter进行了数字签名。

经过进一步的测试,哈恩确定该检测不是意外。他和其他研究人员随后着手确定该恶意软件的确切作用。

工程师约翰-艾登巴斯(Johann Aydinbas)在推特上写道:"核心功能似乎是窃听SSL连接"。"除了IP重定向组件外,它还在注册表中安装(并保护)根证书。

rootkit是一种恶意软件,其编写方式使其无法在文件目录、任务监视器和其他标准的操作系统功能中被查看。根证书用于验证在受传输层安全协议保护的连接中发送的流量,该协议对传输中的数据进行加密,并确保用户所连接的服务器是真实的,而不是一个冒牌货。通常情况下,TLS证书是由一个Windows信任的证书颁发机构(或CA)颁发的。通过在Windows本身安装一个根证书,黑客可以绕过CA的要求。

微软的数字签名,以及恶意软件安装的根证书,使恶意软件具有隐蔽性,并有能力发送解密的TLS流量到hxxp://110.42.4.180:2081/s。

严重的安全失误

在周五的一篇简短文章中,微软写道:"微软正在调查一个在游戏环境中分发恶意驱动程序的恶意行为者。该行为人通过Windows硬件兼容计划提交了驱动程序进行认证。这些驱动程序是由一个第三方建立的。我们已经暂停了该账户,并审查了他们提交的其他恶意软件的迹象"。

该帖子继续说,微软没有发现任何证据表明其Windows硬件兼容计划的签名证书或其WHCP签名基础设施被破坏。此后,该公司已将Netfilter检测结果添加到Windows Defender AV引擎中,并将检测结果提供给其他AV供应商。该公司还暂停了提交Netfilter的账户,并审查了以前提交的其他恶意软件的迹象。

微软补充说:

该行为人的活动仅限于部分地区的游戏领域,似乎并不针对企业环境。该行为人的目标是利用驱动程序来欺骗他们的地理位置,以欺骗系统并从任何地方进行游戏。该恶意软件使他们能够在游戏中获得优势,并可能通过键盘记录器等普通工具入侵其他玩家的账户,从而对其进行剥削。

重要的是要明白,这种攻击中使用的技术发生在利用后,这意味着攻击者必须已经获得管理权限,以便能够运行安装程序更新注册表,并在下次系统启动时安装恶意驱动程序,或者说服用户代表他们这样做。

尽管该帖子指出了一些限制,但这一失误是很严重的。微软的认证计划正是为了阻止G Data首次发现的那种攻击。微软还没有说它是如何对该恶意软件进行数字签名的。公司代表拒绝提供解释。

原文链接:arstechnica.com/gadgets/202…