Kibernetički kriminalci sve više iskorištavaju legitimne procese potpisivanja Windows upravljačkih programa (drivera) kako bi implementirali sofisticirani malver na nivou jezgre sustava. Novo istraživanje otkriva zabrinjavajući trend koji je od 2020. godine kompromitirao više od 620 upravljačkih programa.
Detaljna istraga koju su proveli stručnjaci za kibernetičku sigurnost otkrila je kako akteri prijetnji sustavno zloupotrebljavaju Microsoftov Program kompatibilnosti hardvera za Windows (WHCP) i certifikate s proširenom validacijom (EV) kako bi legalizirali maliciozne upravljačke programe na nivou jezgre. Ovim potezom efektivno zaobilaze tradicionalne sigurnosne mehanizme i stječu neviđenu kontrolu nad sustavom.
Od 2020. godine, stručnjaci za sigurnost identificirali su preko 620 malicioznih upravljačkih programa, više od 80 kompromitiranih certifikata i preko 60 WHCP računa povezanih s kampanjama aktera prijetnji.
Ovaj opseg predstavlja značajnu eskalaciju napada na nivou jezgre sustava. Istraživanje Group-IB-a o obavještajnim podacima o prijetnjama pokazuje da je približno 32% analiziranih malicioznih upravljačkih programa funkcioniralo kao “loaderi” (utovarivači), sposobni preuzimati sekundarne terete (payloads) s poslužitelja za zapovijedanje i kontrolu (C2).
Zloupotreba je dosegnula vrhunac 2022. godine, kada je preko 250 upravljačkih programa te približno 34 certifikata i WHCP računa identificirano kao potencijalno kompromitirano od strane stručnjaka za sigurnost. Ovaj porast je potom uslijedio pad, vjerojatno zbog povećanog izvještavanja u industriji i mjera odgovora koje je poduzeo Microsoft.
Istraživanje je razotkrilo uspješno podzemno tržište za certifikate potpisivanja koda, gdje se EV certifikati prodaju po cijenama u rasponu od 2.000 do 6.500 američkih dolara na kriminalnim forumima. Ovi certifikati, koji zahtijevaju temeljitu provjeru pravnog statusa tvrtke, dobivaju se putem lažnih poslovnih registracija, a ne klasičnom krađom certifikata. Više dobavljača djeluje putem internetskih tržišta, a neki su u stanju isporučiti certifikate u samo 2-5 dana. Podzemno tržište preusmjerilo se s primarne prodaje ukradenih certifikata na pružanje svježe izdatih certifikata koristeći lažne identitete tvrtki, čime se detekcija značajno otežava.
Moderne “kernel loader” komponente predstavljaju novi sloj prikrivanja u ovim napadima. Ovi upravljački programi prve faze dizajnirani su za učitavanje sekundarnih komponenti, uključujući i nepotpisane upravljačke programe koji koriste tehnike refleksije, kao i službeno instalirane potpisane upravljačke programe. Značajni primjeri uključuju Blackmoon bankovni trojanski program, koji je evoluirao do korištenja Hugo upravljačkog programa, potpisanog “kernel loadera” koji dešifrira i učitava nepotpisane upravljačke programe iz tvrdokornih putanja datoteka. Obitelj malvera POORTRY pokazala je ovu evoluciju, prešavši s jednostavnog deaktivatora sustava za otkrivanje i sprječavanje upada (EDR) na potpuno funkcionalni “EDR wiper” sposoban za brisanje ključnih datoteka sigurnosnog softvera. POORTRY, koji koriste ransomware grupe uključujući BlackCat, Cuba i LockBit, predstavlja rastuću agresivnost napada na nivou jezgre sustava.
Analiza otkriva značajnu koncentraciju malicioznih aktivnosti koje potječu od kineskih aktera prijetnji, pri čemu je većina certifikata i WHCP računa povezana s kineskim tvrtkama, temeljeno na analizi metapodataka. Obitelj rootkitova FiveSys bila je posebno aktivna, ciljajući kineski gaming sektor, istovremeno održavajući digitalne potpise koje je izdalo Ministarstvo za kibernetičku sigurnost. Stručnjaci za sigurnost identificirali su preklapajuću infrastrukturu između naizgled nepovezanih kampanja, što sugerira koordinirane napore među više grupa aktera prijetnji koje koriste zajedničke mogućnosti potpisivanja.
Microsoft je implementirao nekoliko obrambenih mjera, uključujući Microsoftovu crnu listu ranjivih upravljačkih programa, koja je omogućena prema zadanim postavkama na sustavima Windows 11. Tvrtka je također opozvala brojne certifikate i suspendirala developerske račune korištene u malicioznim kampanjama. Međutim, istraživanje ukazuje na to da su nužni snažniji mehanizmi validacije, osobito zahtijevajući rigoroznije procedure provjere za izdavanje EV certifikata, uključujući potencijalne provjere fizičke prisutnosti kako bi se osigurala zakonitost. Pojava podzemnih pružatelja usluga certifikata za upravljačke programe ističe snalažljivost aktera prijetnji i otkriva kritične ranjivosti u trenutnim procesima potpisivanja upravljačkih programa, naglašavajući hitnu potrebu za poboljšanim sigurnosnim mjerama u ekosustavu digitalnih certifikata.
