Microsoft数字签署恶意rootkit驱动程序

Microsoft向rootkit提供了Digital Imprimatur，即解密加密通信并将其发送给攻击者控制的服务器，公司和外部研究人员表示。

Blunder允许将恶意软件安装在Windows计算机上，无需用户接收安全警告或需要采取其他步骤。在过去的13年中，Microsoft已经需要在Windows内核中运行的第三方驱动程序和其他代码进行测试，并由OS制造商进行数字签名以确保稳定性和安全性。如果没有Microsoft证书，则默认情况下无法安装这些类型的程序。

本月早些时候，安全公司G数据的研究员Karsten Hahn发现，他的公司的恶意软件检测系统标记了名为NetFilter的驱动程序。他最初认为该检测是一个假阳性，因为微软在公司的Windows硬件兼容程序下有数字签名NetFilter。

在进一步测试之后，哈恩确定检测不是误报。他和同类研究人员决定恰恰确定恶意软件。

“核心功能似乎是在SSL连接上窃听，”Johann Aydinbas逆向工程师在Twitter上写道。 “除了IP重定向组件之外，它还可以将根证书安装（并保护）到注册表。”

花了一些时间分析了@StrupPigel发现的中国NetFilter驱动程序：核心功能似乎在SSL连接上窃听。除了IP重定向组件外，还可以将根证书安装（并保护）到注册表。

- Johann Aydinbas（@jaydinbas）2021年6月19日

rootkit是一种恶意软件，以防止其在文件目录，任务监视器和其他标准操作系统函数中查看的方式编写。根证书用于验证通过传输层安全协议保护的连接发送的流量，该传输层安全协议通过传输加密数据并确保用户所连接的服务器是真实的，而不是冒名顶替。通常，TLS证书由Windows-Trusted证书颁发机构（或CA）发出。通过在Windows本身中安装根证书，黑客可以绕过CA要求。

Microsoft的数字签名以及安装恶意软件的根证书，给出了恶意软件隐身，并能够将解密的TLS流量发送到HXXP：//110.42.4.180：2081 / s。

在Microsoft写道的星期五的一个简短的帖子中，“微软正在调查一个恶意演员在游戏环境中分发恶意驱动程序。 Actor通过Windows硬件兼容程序提交了用于认证的驱动程序。司机由第三方建造。我们已暂停该帐户，并审核了他们的提交的恶意软件迹象。“

该帖子表示，Microsoft发现没有证据表明其Windows硬件兼容程序或其WHCP签名基础架构的签名证书已经受到损害。公司已增加NetFilter检测到Windows内置的Windows Defender AV引擎，并为其他AV提供商提供了检测。该公司还暂停了提交NetFilter的帐户，并审查了以前的额外恶意软件迹象提交。

演员的活动仅限于博彩部门，特别是在中国，并没有似乎瞄准企业环境。我们目前尚未将其归因于国家 - 国家演员。演员的目标是使用司机欺骗他们的地理位置，以欺骗系统并从任何地方播放。恶意软件使他们能够在游戏中获得优势，并且通过克利戈尔等常用工具损害其帐户可能会利用其他玩家。

重要的是要理解，这次攻击中使用的技术会发生剥离后，这意味着攻击者必须已经获得了管理权限，以便能够运行安装程序来更新注册表并在下次系统靴子下安装恶意驱动程序或说服用户代表他们完成。

尽管帖子所指出的局限性，但失效是严重的。微软的认证计划旨在刻放攻击G数据首次发现的类型。微软尚未说它如何在数字上签名恶意软件。公司代表拒绝提供解释。