Microsoft приостанавливает действие учетных записей разработчиков, которые использовали ее сертификаты для аутентификации вредоносных программ.

На этой неделе Microsoft заявила, что заблокировала несколько учетных записей разработчиков, которые тайно использовались для того, чтобы заставить ИТ-гиганта ставить цифровую подпись вредоносных драйверов. По мнению нескольких исследователей безопасности, хакеры использовали эти вредоносные, но узаконенные драйверы для проведения кибератак.

Исследователи из SentinelOne, Mandiant и Sophos координировали свои действия с Microsoft, чтобы исправить ошибку в проверках безопасности производителя Windows. Раскрытие информации произошло через два месяца после того, как Дэн Гудин из ArsTechnica сообщил о недостатках в системе целостности кода, защищенной гипервизором (HVCI), инструменте, защищающем ядро ​​Windows, который, если он включен, может позволить любому загрузить и установить вредоносный драйвер на устройство.

Драйверам обычно требуется доступ к ядру ОС, учитывая, что они взаимодействуют между различными программными/аппаратными компонентами в системе, которая может производиться несколькими поставщиками. Драйверы подписаны цифровым сертификатом подлинности.

Таким образом, несколько злоумышленников отправляли вредоносные драйверы в программу Microsoft Windows Hardware Developer Program, чтобы повысить доверие компании к драйверу с цифровой подписью. ОС доверяет драйверу, подписанному действительной криптографической подписью, загрузить его в систему.

«Эта проверка была важна для борьбы с бедствием руткитов режима ядра, вредоносных программ, предназначенных для запуска с самыми высокими привилегиями и, таким образом, подрыва попыток их обнаружения или искоренения», — отметил SentinelOne.
Открывает новое окно. — Эта битва продолжается уже довольно давно.

В частности, вредоносные драйверы, подписанные с помощью сертификатов Microsoft, были разработаны для прекращения работы антивирусных продуктов и процессов расширенного обнаружения и реагирования (EDR). Microsoft отметила, что драйверы использовались в деятельности после эксплуатации.

Это означает, что злоумышленник обязательно должен получить административные привилегии на скомпрометированных системах. Один из злоумышленников, UNC3944, развертывает STONESTOP, загрузчик/установщик, для установки POORTRY, другого вредоносного ПО, которому поручено завершать антивирусные процессы и процессы EDR. Исследователи обнаружили три версии POORTRY, две из которых были подписаны сертификатами Microsoft.

На этой неделе несколько злоумышленников использовали вредоносное ПО, подписанное с помощью полученных мошенническим путем сертификатов, для развертывания Hive и, возможно, других программ-вымогателей. Sophos добавила, что этот метод также используется для развертывания программы-вымогателя Cuba.

«Подписи от крупного, заслуживающего доверия издателя программного обеспечения повышают вероятность того, что драйвер будет беспрепятственно загружаться в Windows, повышая вероятность того, что злоумышленники, использующие программу-вымогатель Cuba, смогут завершить процессы безопасности, защищающие компьютеры своих целей», — отмечают исследователи Sophos.

Набор инструментов используется для аутсорсинга бизнес-процессов (BPO), телекоммуникаций, поставщиков управляемых услуг безопасности (MSSP), развлечений, транспорта, криптовалюты и финансовых услуг.

Оценка Microsoft отчета трех компаний, занимающихся кибербезопасностью, показала, что несколько учетных записей разработчиков для Microsoft Partner Center участвовали в отправке вредоносных драйверов для получения подписи. Компания ответила
Открывает новое окнопутем приостановки работы этих учетных записей и отзыва сертификата для затронутых файлов с помощью обновления в декабрьском вторнике исправлений .

Хотя эта конкретная проблема была решена, Mandiant заявила, что подозревает, что несколько групп угроз используют службы подписи кода, тем самым намекая на существование подписи вредоносного драйвера как услуги. Хакеры ранее использовали подпись кода Microsoft для цифровой подписи руткита Netfilter.

«Процесс аттестационной подписи перекладывает ответственность за проверку личности запрашивающего поставщика оборудования или программного обеспечения на центры сертификации (ЦС). Теоретически это допустимый процесс, поскольку центры сертификации должны следовать согласованным процедурам для проверки личности запрашивающего лица и полномочий лица, подающего запрос, представлять поставщика программного обеспечения», — сказал Мандиант.
Открывает новое окно.

«Однако этот процесс используется для получения вредоносного ПО, подписанного Microsoft». Неясно, как злоумышленники получили сертификаты расширенной проверки, которые необходимы для проверки подлинности оборудования.

Весь эпизод указывает на недостатки в процессе подписи кода, который Microsoft попыталась сделать более строгим, потребовав, чтобы драйверы режима ядра подписывались через портал панели инструментов Windows Hardware Developer Center в ущерб открытым или самозаверяющим драйверам.