В последнее время Microsoft появлялась в новостях из-за анонса Windows 11, состоявшегося 24 июня этого года. Но это не единственная причина, почему это стало темой для обсуждения среди людей. Есть еще несколько причин, например, множество обновлений, выпущенных вместе с недавно обнаруженной информацией о вредоносном ПО.
Центр реагирования безопасности Microsoft (MSRC) признал, что принял драйвер, содержащий вредоносную программу. Вредоносная программа-руткит, которая обменивалась данными с серверами управления и контроля (C2) в Китае. Похоже, что некоторые злоумышленники обманом заставили редмондского гиганта подписать драйвер Netfilter, предназначенный для игровых сред. Драйвер использовался, чтобы скрыть геолокацию игрока и играть из любого региона.
Первый экземпляр этого вредоносного ПО обнаружил Карстен Хан, аналитик вредоносного ПО немецкой компании по кибербезопасности G Data. «Начиная с Windows Vista, любой код, работающий в режиме ядра, должен быть протестирован и подписан перед общедоступным выпуском, чтобы обеспечить стабильность операционной системы». заявил Хан. «Драйверы без сертификата Microsoft не могут быть установлены по умолчанию», — продолжил он.
Как действует эта вредоносная программа?
В MSRC пояснили, что люди со злым умыслом использовали это вредоносное ПО, чтобы эксплуатировать других геймеров и скомпрометировать учетные данные их учетных записей с помощью кейлоггера. Им также удалось взломать другую информацию, включая информацию о дебетовой/кредитной карте и адреса электронной почты.
Интересно отметить, что Netfilter — это законный пакет приложений, который позволяет пользователям включать фильтрацию пакетов и транслирует сеть. адреса. Оно также может добавлять новые корневые сертификаты, настраивать новый прокси-сервер и помогать изменять настройки Интернета.
После того, как пользователи установили это приложение в свою систему, оно подключилось к серверу C2 для получения информации о конфигурации и обновления. Microsoft также объяснила, что методы, использованные в атаке, применяются после эксплуатации, что указывает на то, что противник должен сначала получить административные привилегии, а затем установить драйвер во время запуска системы.
«Среда безопасности продолжает быстро развиваться по мере того, как Злоумышленники находят новые и инновационные методы получения доступа к средам по широкому спектру векторов», — заявили в MSRC.
Хан был главным человеком, которому приписывают обнаружение вредоносного ПО, но позже к нему присоединились и другие исследователи вредоносного ПО, в том числе Йохан н Айдинбас, Такахиро Харуяма и Флориан Рот. Его беспокоил процесс подписи кода Microsoft, и он сомневался в том, что в наборе одобренных Microsoft драйверов скрыто другое вредоносное ПО.
Modus Operandi злоумышленников
Как только Microsoft была проинформирована, она предприняла все необходимые шаги для расследования инцидента и принятия превентивных мер, чтобы гарантировать, что это не повторится. Microsoft заявила, что нет никаких доказательств использования украденных сертификатов подписи кода. Авторы этого вредоносного ПО следовали законному процессу отправки драйверов на серверы Microsoft, а также легально приобрели подписанный Microsoft двоичный файл.
Microsoft заявила, что драйверы были созданы сторонним разработчиком и отправлены на утверждение через Программа совместимости оборудования Windows. После этого инцидента Microsoft приостановила действие учетной записи, отправившей этот драйвер, и начала проверять все отправленные этой учетной записью материалы с наивысшим приоритетом.
Кроме того, Microsoft заявила, что уточнит свою политику доступа для партнеров, а также ее проверку. и процесс подписания для дальнейшего усиления защиты.
Убедительные выводы о том, что Microsoft принимает подпись в драйвере Netfilter, который был загружен с вредоносным ПО RootkitMicrosoft утверждает, что вредоносное ПО было создано для атаки на игровой сектор в Китае и, похоже, это работа только из нескольких человек. Никаких связей, связывающих организацию или предприятие с вредоносным ПО, не существует. Однако следует понимать, что любые подобные вводящие в заблуждение двоичные файлы могут быть использованы кем угодно для инициирования крупномасштабной
атаки на программное обеспечение. В прошлом такие атаки облегчались, как атака Stuxnet, атаковавшая ядерную программу Ирана. Это произошло потому, что сертификаты, используемые для подписи кода, были украдены у Realtek и JMicron.
Поскольку Microsoft готовится к выпуску Windows 11, этот инцидент действительно вызывает сомнения в безопасности, которую Microsoft обеспечивает в своих операционных системах. . Что вы думаете? Пожалуйста, поделитесь своими мыслями в разделе комментариев ниже. Следите за нами в социальных сетях – .
Читать: 0
