Microsoft承认在供应链惨败中签署rootkit恶意软件

这个司机，叫做＆＃34; netfilter，＆＃34;事实上，观察到与中文命令和控制（C2）IPS通信的rootkit。

G Data Malware分析师Karsten Hahn首先注意到上周通知了这个活动，并被更广泛的Infosec加入。追查和分析横读铅的恶意司机的社区。

事实证明，C2基础设施属于归类于＆＃34;共青团中国军事＆＃34;由美国国防部。

此事件再次对软件供应链安全性进行了威胁，除此之外，它源于Microsoft＆＃39; s代码签名过程中的弱点。

上周，G数据＆＃39; S网络安全警报系统标记出现假阳性，但不是 - 一个名为＆＃34; Netfilter的微软签名驱动程序。＆＃34;

有问题的司机被视为与基于中国的C＆amp; C IPS沟通，不提供合法的功能，并因此提出了牵引的怀疑。

这是G数据＆＃39;恶意软件分析师Karsten Hahn公开分享并同时联系Microsoft：

＆＃34;由于Windows Vista以来，需要在公共发布之前测试和签署在内核模式下运行的任何代码，以确保操作系统的稳定性。＆＃34; 当时，BleepingComputer开始观察C2 URL的行为，并联系Microsoft进行陈述。 第一个C2 URL返回由管道分隔的一组更多路由（URL）（＆＃34; |＆＃34;）符号： 如BleepingComputer所见，例如，＆＃34; / v？＆＃34; 路径为恶意NetFilter驱动程序提供了URL，讨论本身（生活在＆＃34; / d3＆＃34;）： G数据研究人员花了一些时间充分分析了司机并将其结束为恶意软件。 研究人员在详细的博客文章中分析了司机，自更新功能和妥协（IOC）的指标。 ＆＃34;样本具有自更新的例程，通过HXXP：//110.42.4.180：2081 / v？v = 6＆amp; m =，＆＃34; 哈恩说。

＆＃34;服务器然后响应最新样本的URL，例如， HXXP：//110.42.4.180：2081 / D6或＆＃39; OK＆＃39;如果样本是最新的。恶意软件相应地替换其自己的文件，＆＃34;进一步解释了研究人员。

在他的分析过程中，哈恩被其他恶意软件研究人员加入，包括约翰阿伊那巴斯，Takahiro Haruyama和Florian Roth。

罗斯能够在电子表格中收集样本列表，并为您提供了用于在网络环境中检测到这些的雅拉规则。

值得注意的是，C2 IP 110.42.4.180根据WHOIS记录，恶意NetFilter驱动程序连接到属于宁波卓志创新网络科技有限公司。

美国国防部（国防部）以前标志着这个组织为A＆＃34;共青团中国军事公司，＆＃34;另一名研究员@CowAnaut观察到。

微软正在积极调查这一事件，虽然到目前为止，没有证据表明被盗签名证书。

Mishap似乎是由Microsoft＆＃39的威胁演员引发了恶意NetFilter驱动程序的威胁演员，并以合法的方式管理以获得Microsoft签名的二进制文件：

＆＃34;演员通过Windows硬件兼容性程序提交了用于认证的驱动程序。司机由第三方建造。＆＃34;

＆＃34;我们已暂停帐户并审查了他们的提交的恶意软件迹象，＆＃34;昨天微软说。

据微软称，威胁演员主要针对这些恶意司机在中国专门针对博彩部门，并没有迄今为止受到影响的企业环境。

错误的签名二进制文件可以被复杂的威胁演员滥用，以促进大规模的软件供应链攻击。

针对伊朗的多方面的stuxnet攻击，核计划标志着一个众所周知的事件，其中签名证书被Realtek和Jmicron偷走，以促进攻击。

然而，这种特殊的事件在合法的签字过程中已经暴露了弱点，通过威胁行动者利用来利用Microsoft签署的代码而不会影响任何证书。