Вредоносное ПО с подписанным драйвером продвигается вверх по цепочке доверия
Вредоносное ПО с подписанным драйвером продвигается вверх по цепочке доверия к программному обеспечению.
Преступники подписали свою вредоносную программу AV-killer, тесно связанную с известной как BURNTCIGAR, легитимным сертификатом WHCP.
При расследовании подозрительной активности в клиентской сети служба быстрого реагирования Sophos X-Ops Rapid Response (RR) обнаружила пару файлов, оставленных на некоторых скомпрометированных машинах. Два файла работают вместе для завершения процессов или служб, используемых различными поставщиками продуктов для защиты конечных точек.
Поскольку команда RR выгнала злоумышленников из систем, предотвратив дальнейший ущерб, невозможно точно знать, какую программу-вымогатель намеревались развернуть злоумышленники. Однако использованные методы и оставленные файлы дают интригующую подсказку о группе, стоящей за атакой.
В нашем анализе после атаки SophosLabs определила, что пара исполняемых файлов — криптографически подписанный драйвер Windows (подписанный законным сертификатом подписи) и исполняемое приложение «загрузчик», предназначенное для установки драйвера, — использовались в тандеме в неудачной попытке. чтобы отключить инструменты безопасности конечных точек на целевых машинах.
Дальнейший анализ приложения-загрузчика дал убедительные доказательства того, что это был вариант вредоносного ПО, которое Mandiant назвало BURNTCIGAR. Предыдущие исследования, проведенные другими компаниями, показывают, что злоумышленники, которые использовали этот инструмент в предыдущих атаках, позже попытались развернуть программу-вымогатель, называющую себя Cuba.
Sophos в частном порядке сообщила о существовании всех подписанных драйверов в этом исследовании Microsoft, которая опубликовала рекомендацию в рамках сегодняшнего выпуска исправлений во вторник.
В 2022 году использование драйверов устройств в качестве способа саботажа или прекращения работы инструментов безопасности росло. В некоторых из предыдущих атак использовался подход «принеси свой собственный уязвимый драйвер» (BYOVD), при котором злоумышленники используют драйвер Windows. от законного издателя программного обеспечения, которое содержит уязвимости в системе безопасности. Два примера атак BYOVD включают программу-вымогатель Robinhood в 2020 году и совсем недавнюю программу-вымогатель BlackByte. Последние версии операционной системы требуют, чтобы драйверы имели законную криптографическую подпись для правильной загрузки.
Драйвер, восстановленный в ходе этой атаки, очень похож на тот, который использовался в ранее задокументированной атаке. В этом случае драйвер был снабжен цифровой подписью с использованием украденного цифрового сертификата NVIDIA (один из файлов, просочившихся злоумышленниками, известными как Lapsus$). Другой тесно связанный драйвер, использовавшийся в еще более ранних атаках, был снабжен цифровой подписью с использованием сертификатов одной или нескольких китайских компаний с более сомнительной репутацией.
Исследование SophosLabs показывает, что злоумышленники продвигаются вверх по пирамиде доверия, пытаясь использовать все более надежные криптографические ключи для цифровой подписи своих драйверов. Подписи от крупного, заслуживающего доверия издателя программного обеспечения повышают вероятность того, что драйвер будет беспрепятственно загружаться в Windows, повышая вероятность того, что злоумышленники, использующие программу-вымогатель Cuba, смогут завершить процессы безопасности, защищающие компьютеры своих целей.
Атаки на ядро могут вывести из строя многие продукты безопасности
В большинстве инцидентов с программами-вымогателями злоумышленники убивают программное обеспечение безопасности цели на важном этапе перед развертыванием самой программы-вымогателя. В недавних атаках некоторые злоумышленники использовали драйверы Windows для отключения продуктов безопасности.
Поскольку драйверы представляют собой уникальную угрозу безопасности, Windows по умолчанию включает проверку подписи драйверов. Политика гарантирует, что все драйверы режима ядра должны быть подписаны для загрузки.
Чтобы обойти эту меру безопасности, злоумышленники должны использовать подписанный драйвер, предпочтительно тот, который подписан действительным в настоящее время ключом из надежного источника. Есть два основных способа добиться этого.
Более простой из них является атака «Принеси свой собственный уязвимый драйвер» (BYOVD), в которой злоумышленники развертывают законные коммерческие программные драйверы, которые также имеют уязвимости в системе безопасности. Легче, потому что злоумышленникам не нужно создавать драйвер с нуля или получать утечку сертификата подписи кода: они просто злоупотребляют уже существующим, предпочтительно тем, который прошел сертификацию Windows, подписанную сертификатом издателя совместимости оборудования Microsoft Windows (WHCP).
Более сложный метод заключается в том, чтобы злоумышленники изобрели способ получить собственный драйвер, созданный злоумышленниками (или специально созданный для них), подписанный доверенным сертификатом. Это метод, который используют злоумышленники.
Большинство атак на драйверы ядра обычно имеют форму BYOVD. Среди недавних примеров — программа-вымогатель BlackByte, которая использовала уязвимый драйвер разгона видеокарты, и еще одна программа-вымогатель, использующая уязвимый античит-драйвер, созданный издателем программного обеспечения для видеоигры Genshin Impact.
В то время как продукты Sophos были перечислены среди целей для драйвера, драйверу в конечном итоге не удалось завершить их работу из-за функций защиты от несанкционированного доступа Sophos.
Подписанный код должен быть гарантией
Корпорация Майкрософт понимает, что драйверы режима ядра могут выполнять операции с высоким уровнем привилегий, которые не могут использовать процессы пользовательского режима, что потенциально снижает эффективность некоторых продуктов защиты от вредоносных программ, защиты конечных точек или продуктов EDR. Таким образом, компания создала процесс обеспечения качества, который дает свое одобрение только тому программному обеспечению, которое Microsoft может тщательно изучить, и операционную систему, которая загружает только программное обеспечение, имеющее этот штамп.
Цифровые подписи также указывают на степень безопасности и доверия.
Организации, подписывающие код, такие как Microsoft, также могут отсеивать вредоносные драйверы, используя любой из множества методов для тщательной проверки драйверов, отправленных на подпись.
Windows также рассматривает некоторое старое программное обеспечение, например, драйверы, которые позже использовались в атаках BYOVD, как действительно подписанные — сначала. Любой конкретный драйвер с истекшим сроком годности может содержать уязвимости, которые можно использовать, но Microsoft не ищет их в миллионах существующих сторонних драйверов с истекшим сроком действия. Сертификат (или драйвер) отзывается только после того, как кто-то замечает вредоносное ПО, подписанное им (или самим драйвером) — и предупреждает Microsoft.
Таким образом, хотя злоумышленники могут разместить этот файл драйвера на жестком диске и создать связанную службу для его загрузки, Windows будет выдавать ошибки, если драйвер не подписан или подписан отозванным сертификатом.
Вывод: гораздо сложнее пройти через эти проверки целостности, навязанные лицами, подписывающими код, и получить легитимно подписанный файл, чем в первую очередь создать специальный драйвер вредоносного ПО.
Хотя мало кто сомневается в том, что утечка сертификата подписи NVIDIA привела к тому, что ныне отозванный сертификат использовался для подписи одной версии драйвера, создателю вредоносной программы каким-то образом удалось получить другие версии драйвера, подписанные органами подписи кода для Microsoft. и другие издатели программного обеспечения.
https://news.sophos.com/en-us/2022/12/13/signed-driver-malware-moves-up-the-software-trust-chain/
Преступники подписали свою вредоносную программу AV-killer, тесно связанную с известной как BURNTCIGAR, легитимным сертификатом WHCP.
При расследовании подозрительной активности в клиентской сети служба быстрого реагирования Sophos X-Ops Rapid Response (RR) обнаружила пару файлов, оставленных на некоторых скомпрометированных машинах. Два файла работают вместе для завершения процессов или служб, используемых различными поставщиками продуктов для защиты конечных точек.
Поскольку команда RR выгнала злоумышленников из систем, предотвратив дальнейший ущерб, невозможно точно знать, какую программу-вымогатель намеревались развернуть злоумышленники. Однако использованные методы и оставленные файлы дают интригующую подсказку о группе, стоящей за атакой.
В нашем анализе после атаки SophosLabs определила, что пара исполняемых файлов — криптографически подписанный драйвер Windows (подписанный законным сертификатом подписи) и исполняемое приложение «загрузчик», предназначенное для установки драйвера, — использовались в тандеме в неудачной попытке. чтобы отключить инструменты безопасности конечных точек на целевых машинах.
Дальнейший анализ приложения-загрузчика дал убедительные доказательства того, что это был вариант вредоносного ПО, которое Mandiant назвало BURNTCIGAR. Предыдущие исследования, проведенные другими компаниями, показывают, что злоумышленники, которые использовали этот инструмент в предыдущих атаках, позже попытались развернуть программу-вымогатель, называющую себя Cuba.
Sophos в частном порядке сообщила о существовании всех подписанных драйверов в этом исследовании Microsoft, которая опубликовала рекомендацию в рамках сегодняшнего выпуска исправлений во вторник.
В 2022 году использование драйверов устройств в качестве способа саботажа или прекращения работы инструментов безопасности росло. В некоторых из предыдущих атак использовался подход «принеси свой собственный уязвимый драйвер» (BYOVD), при котором злоумышленники используют драйвер Windows. от законного издателя программного обеспечения, которое содержит уязвимости в системе безопасности. Два примера атак BYOVD включают программу-вымогатель Robinhood в 2020 году и совсем недавнюю программу-вымогатель BlackByte. Последние версии операционной системы требуют, чтобы драйверы имели законную криптографическую подпись для правильной загрузки.
Драйвер, восстановленный в ходе этой атаки, очень похож на тот, который использовался в ранее задокументированной атаке. В этом случае драйвер был снабжен цифровой подписью с использованием украденного цифрового сертификата NVIDIA (один из файлов, просочившихся злоумышленниками, известными как Lapsus$). Другой тесно связанный драйвер, использовавшийся в еще более ранних атаках, был снабжен цифровой подписью с использованием сертификатов одной или нескольких китайских компаний с более сомнительной репутацией.
Исследование SophosLabs показывает, что злоумышленники продвигаются вверх по пирамиде доверия, пытаясь использовать все более надежные криптографические ключи для цифровой подписи своих драйверов. Подписи от крупного, заслуживающего доверия издателя программного обеспечения повышают вероятность того, что драйвер будет беспрепятственно загружаться в Windows, повышая вероятность того, что злоумышленники, использующие программу-вымогатель Cuba, смогут завершить процессы безопасности, защищающие компьютеры своих целей.
Атаки на ядро могут вывести из строя многие продукты безопасности
В большинстве инцидентов с программами-вымогателями злоумышленники убивают программное обеспечение безопасности цели на важном этапе перед развертыванием самой программы-вымогателя. В недавних атаках некоторые злоумышленники использовали драйверы Windows для отключения продуктов безопасности.
Поскольку драйверы представляют собой уникальную угрозу безопасности, Windows по умолчанию включает проверку подписи драйверов. Политика гарантирует, что все драйверы режима ядра должны быть подписаны для загрузки.
Если политика включена, а драйвер не подписан, Windows не загрузит драйвер, выдаст код ошибки 577 и отобразит сообщение о том, что не может проверить цифровую подпись для этого файла.
Чтобы обойти эту меру безопасности, злоумышленники должны использовать подписанный драйвер, предпочтительно тот, который подписан действительным в настоящее время ключом из надежного источника. Есть два основных способа добиться этого.
Более простой из них является атака «Принеси свой собственный уязвимый драйвер» (BYOVD), в которой злоумышленники развертывают законные коммерческие программные драйверы, которые также имеют уязвимости в системе безопасности. Легче, потому что злоумышленникам не нужно создавать драйвер с нуля или получать утечку сертификата подписи кода: они просто злоупотребляют уже существующим, предпочтительно тем, который прошел сертификацию Windows, подписанную сертификатом издателя совместимости оборудования Microsoft Windows (WHCP).
Более сложный метод заключается в том, чтобы злоумышленники изобрели способ получить собственный драйвер, созданный злоумышленниками (или специально созданный для них), подписанный доверенным сертификатом. Это метод, который используют злоумышленники.
Большинство атак на драйверы ядра обычно имеют форму BYOVD. Среди недавних примеров — программа-вымогатель BlackByte, которая использовала уязвимый драйвер разгона видеокарты, и еще одна программа-вымогатель, использующая уязвимый античит-драйвер, созданный издателем программного обеспечения для видеоигры Genshin Impact.
В то время как продукты Sophos были перечислены среди целей для драйвера, драйверу в конечном итоге не удалось завершить их работу из-за функций защиты от несанкционированного доступа Sophos.
Подписанный код должен быть гарантией
Корпорация Майкрософт понимает, что драйверы режима ядра могут выполнять операции с высоким уровнем привилегий, которые не могут использовать процессы пользовательского режима, что потенциально снижает эффективность некоторых продуктов защиты от вредоносных программ, защиты конечных точек или продуктов EDR. Таким образом, компания создала процесс обеспечения качества, который дает свое одобрение только тому программному обеспечению, которое Microsoft может тщательно изучить, и операционную систему, которая загружает только программное обеспечение, имеющее этот штамп.
Подпись криптографического кода — это не просто дополнительная вкладка на странице свойств файла. Он предназначен для указания нескольких вещей: в первую очередь, это означает, что код принадлежит компании, указанной в данных подписи кода, добавленных к исходной программе. Это утверждение, предположительно с доказательством, что программа не изменилась по сравнению с тем, что было представлено компании, занимающейся подписью кода, в конкретную дату и время.
Цифровые подписи также указывают на степень безопасности и доверия.
Организации, подписывающие код, такие как Microsoft, также могут отсеивать вредоносные драйверы, используя любой из множества методов для тщательной проверки драйверов, отправленных на подпись.
Windows проверяет действительность подписи драйверов, прежде чем разрешить беспрепятственную загрузку драйверов. В качестве меры целостности кода Microsoft ведет черный список, который, когда компания добавляет в него драйвер, «отменяет [драйвер] в ядре Windows в самых последних обновлениях безопасности», — пояснил представитель Microsoft MSRC. Отозванные таким образом драйверы «больше не будут доверять платформой Windows, и их запуск будет заблокирован».
Windows также рассматривает некоторое старое программное обеспечение, например, драйверы, которые позже использовались в атаках BYOVD, как действительно подписанные — сначала. Любой конкретный драйвер с истекшим сроком годности может содержать уязвимости, которые можно использовать, но Microsoft не ищет их в миллионах существующих сторонних драйверов с истекшим сроком действия. Сертификат (или драйвер) отзывается только после того, как кто-то замечает вредоносное ПО, подписанное им (или самим драйвером) — и предупреждает Microsoft.
Таким образом, хотя злоумышленники могут разместить этот файл драйвера на жестком диске и создать связанную службу для его загрузки, Windows будет выдавать ошибки, если драйвер не подписан или подписан отозванным сертификатом.
Вывод: гораздо сложнее пройти через эти проверки целостности, навязанные лицами, подписывающими код, и получить легитимно подписанный файл, чем в первую очередь создать специальный драйвер вредоносного ПО.
Хотя мало кто сомневается в том, что утечка сертификата подписи NVIDIA привела к тому, что ныне отозванный сертификат использовался для подписи одной версии драйвера, создателю вредоносной программы каким-то образом удалось получить другие версии драйвера, подписанные органами подписи кода для Microsoft. и другие издатели программного обеспечения.
https://news.sophos.com/en-us/2022/12/13/signed-driver-malware-moves-up-the-software-trust-chain/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.