Google雲端旗下的資安公司Mandiant以及SentinelOne聯手調查,發現多個可終止Windows系統上特定程序的惡意驅動程式,研究人員提到,在這種情況,惡意驅動程式通常會嘗試終止端點的偵測和回應代理(EDR),不過,這項攻擊更大的問題在於,該惡意驅動程式擁有合法簽章,由微軟Windows硬體開發人員計畫認證。
這個惡意程式帶有微軟Windows硬體相容性計畫Authenticode簽章的POORTRY驅動程式樣本,研究人員仔細分析了該驅動程式的Authenticode後設資料,發現該惡意驅動程式,是由Windows硬體相容性計畫簽署,也就是說,惡意驅動程式是由微軟直接簽署,而且研究人員還發現幾個與不同攻擊者關聯的惡意軟體家族,也已經透過這項程序進行簽署,研究人員確定至少有9個組織利用這項非法手法,生成惡意驅動程式。
驅動程式簽章是Windows作業系統的重要安全功能,其要求驅動程式需要擁有有效的加密簽章,才能被載入到系統中,也就是該簽章將開發人員核准為可信任的實體,而這些開發人員的程式碼,繼承了這種信任。
研究人員提到,這種驗證方式對打擊核心模式Rootkit攻擊非常重要,核心模式Rootkit是能夠以最高權限運作的惡意軟體,微軟從偵測到根除核心模式Rootkit,歷經了一段時間的努力。開發人員的驅動程式要能獲得Windows硬體品質實驗室(WHQL)簽章,需滿足一組特殊標準,這個過程仰賴嚴格的檢查,以確保請求的開發人員是真實存在,且沒有提交惡意驅動程式。
開發人員首先必須獲得擴充驗證(Extended Validation,EV)憑證,並在註冊Windows硬體開發人員計畫後,將其附加到帳戶中,EV憑證要求開發人員將私鑰儲存在物理的權杖上,並執行一系列檢查以驗證請求組織的身分。
完成之後開發人員必須透過合作夥伴入口,提交驅動程式套件進行一系列測試和簽署,確保相容性且不存在任何惡意意圖,在通過測試後,微軟便會使用Windows Hardware Compatibility Publisher憑證對其進行簽署。
研究人員表示,這個過程的主要問題,是來自於大多數安全解決方案信任微軟簽章的任何內容,尤其是核心模式驅動程式。雖然微軟在Windows 10開始,要求開發人員使用Windows硬體開發人員中心儀表板入口,對所有核心模式驅動程式進行簽章,任何未通過該程序的內容都無法載入到新的Windows版本中。
即便這項新要求強化了驅動程式的控制和可見性,但是攻擊者透過開發驅動程式,並且使驅動程式在微軟的審查過程無法發現其惡意意圖,進而玩弄這個程序。
微軟已經完成該事件調查,判斷該惡意攻擊行動只涉及幾個遭濫用的開發人員計畫帳戶,微軟已經將合作夥伴的賣方帳戶暫時停權,並執行進一步偵測措施,避免往後又出現合法簽署的惡意驅動程式,微軟建議使用者安裝最新的Windows更新,並且更新防毒和端點偵測產品至最新狀態,同時啟用最新簽章,以防範相關攻擊。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-22