Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Atakujący wchodzą na nowy poziom. Malware podpisany prawidłowymi certyfikatami Microsoft’s Windows Hardware Developer Program.

14 grudnia 2022, 09:49 | W biegu | komentarze 4

Sophos donosi że wykrył w działaniach grupy ransomware Cuba, złośliwy sterownik jądra Windows, który był prawidłowo podpisany. Warto wspomnieć, że Windows wymaga podpisu takich sterowników aby zapobiec nadużyciom.

Z kolei tego typu „lewy” sterownik może być użyty do omijania / wyłączania zaawansowanych mechanizmów chroniących przed malware (np. EDR), jednak wcześniej wymaga to zdobycia uprawnień administratora.

Sam Microsoft wydał oświadczenie:

drivers certified by Microsoft’s Windows Hardware Developer Program were being used maliciously in post-exploitation activity. In these attacks, the attacker had already gained administrative privileges on compromised systems prior to use of the drivers. We were notified of this activity by SentinelOne, Mandiant, and Sophos on October 19, 2022, and subsequently performed an investigation into this activity. This investigation revealed that several developer accounts for the Microsoft Partner Center were engaged in submitting malicious drivers to obtain a Microsoft signature.

Została wydana również poprawka bezpieczeństwa Windows, unieważniająca wspomniane wyżej (nielegalnie użyte) certyfikaty. Wykrywa je również Windows Defender.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Imie

    Czyli nalezy przyjac, ze te podpisy i certyfikaty MS przed niczym nie chronia i sluza tylko do atakow.

    Odpowiedz
    • Ehh

      Nalezy przyjac ze wszystko mozna zlamac, czy na x, czy na win. Wczesniej musza miec roota, nierozwazny user – przed tym nic nie chroni

      Odpowiedz
  2. Sylweriusz

    Mnie dziwi to, że dopiero teraz hakerzy wpadli na taki pomysł. Wiem, że zdobycie takiego certyfikatu jest inne niż certyfikatu W3C, ale pewnie dla zdolnych programistów nie jest to wielkim wyzwaniem. Swoją drogą – może przydałby się artykuł poświęcony tym certyfikatom? Wiem, temat rzeka ale wiele osób by na tym skorzystało.

    Odpowiedz
    • Kik

      Zastanawiam sie, co maja zdolni programisci do podpisania wlasciwym kluczem? By klucz byl wazny, by w ogole podpisac program czy sterownik musisz miec klucz prywatny. Co maja do tego zdolni programisci? Moze czegos tu nie rozumiem…

      Odpowiedz

Odpowiedz