Primjećeno je da je rupa u politici Microsoft Windows-a korištena prvenstveno od strane izvornih hakera koji govore kineski kako bi krivotvorili potpise na upravljačkim programima kernel moda.
“Hakeri koriste više alata otvorenog koda koji mijenjaju datum potpisivanja upravljačkih programa kernel moda kako bi učitali maliciozne i neprovjerene drajvere potpisane s isteklim certifikatima” navodi Cisco Talos u iscrpnom izvještaju iz dva dijela koji je podijeljen za The Hacker News. “Ovo je velika pretnja, jer pristup kernelu omogućava potpuni pristup sistemu, a samim tim i potpuni kompromis.”
Nakon odgovornog otkrivanja, Microsoft je rekao da je poduzeo korake da blokira sve sertifikate kako bi ublažio pretnju. Nadalje je navedeno da je njegova istraga otkrila da je “aktivnost bila ograničena na zloupotrebu nekoliko programa programskih računa i da nije identifikovan nikakav kompromis Microsoft-ovog računa.”
Tehnološki gigant, osim što je suspendovao račune programera koji su bili uključeni u incident, naglasio je da su hakeri već stekli administrativne privilegije na kompromitovanim sistemima prije upotrebe drajvera.
Vrijedi naglasiti da je proizvođač Windows-a uveo sličnu zaštitu od blokiranja u decembru 2022. godine kako bi spriječio ransomware napadače da koriste drajvere koje potpisuje Microsoft za aktivnosti nakon eksploatacije.
Provedba potpisa drajvera, koja zahtijeva da upravljački programi u kernel modu budu digitalno potpisani sertifikatom s Microsoft-ovog Dev Portala, ključna je linija odbrane od malicioznih drajvera, koji bi se potencijalno mogli koristiti kao oružje kako bi se izbjegla sigurnosna rešenja, manipulisali sistemskim procesima i održali postojanost. Promjena politike je uvedena s Windows Vista debijem.
Nova slabost koju je otkrio Cisco Talos omogućava falsifikovanje potpisa na drajverima režima jezgra, čime se omogućava zaobilaženje politika Windows sertifikata.
Ovo je omogućeno zahvaljujući izuzetku koji je napravio Microsoft radi održavanja kompatibilnosti, koji dozvoljava unakrsno potpisane drajvere ako je računar nadograđen sa ranijeg izdanja Windowsa na Windows 10, verziju 1607, Secure Boot je isključen u BIOS-u, a upravljački programi su “potpisani sertifikatom krajnjeg entiteta izdanim prije 29. jula 2015. godine koji se povezuje s podržanim unakrsno potpisanim certifikacijskim autoritetom.”
“Treći izuzetak stvara rupu koja omogućava da se novokompilirani upravljački program potpiše s neopozivim sertifikatima izdatim prije ili koji su istekli prije 29. jula 2015. godine, pod uslovom da se sertifikati povezuju s podržanim unakrsno potpisanim autoritetom za izdavanje sertifikata” rekli su iz kompanije za kibernetičku bezbjednost.
Kao rezultat toga, upravljački program potpisan na ovaj način neće biti spriječen da se učita na Windows uređaj, što će omogućiti hakerima da iskoriste prednosti klauzule o izbjegavanju kako bi implementovali hiljade malicioznih, potpisanih drajvera bez da ih podnose Microsoft-u na verifikaciju.
Ovi lažni drajveri se postavljaju pomoću softvera za falsifikovanje vremenske oznake potpisa kao što su HookSignTool i FuckCertVerifyTimeValidity, koji su javno dostupni od 2019. odnosno 2018. godine.
HookSignTool je dostupan putem GitHub-a od 7. januara 2020. godine, dok je FuckCertVerifyTimeValidity prvi put posvećen usluzi hostinga kodova 14. decembra 2018. godine.
„HookSignTool je alatka za falsifikovanje potpisa drajvera koja menja datum potpisivanja drajvera tokom procesa potpisivanja kroz kombinaciju povezivanja na Windows API i ručnog menjanja tabele uvoza legitimnog alata za potpisivanje koda“ objasnio je Cisco Talos.
Konkretno, to uključuje spajanje na funkciju CertVerifyTimeValidity, koja provjerava vremensku valjanost sertifikata, kako bi se promijenila vremenska oznaka potpisivanja tokom izvršavanja.
„Ovaj mali projekat sprečava signtool da verifikuje vremensku validnost sertifikata i omogućava Vam da potpišete svoj bin sa zastarelim sertifikatom bez ručnog menjanja sistemskog vremena“ stoji na GitHub stranici za FuckCertVerifyTimeValidity.
“Instalira hook u crypt32!CertVerifyTimeValidity i učini da uvijek vraća 0 i učini da kernel32!GetLocalTime vrati ono što želite jer možete dodati “-fuckyear 2011″ u komandnu liniju signtool-a da potpišete sertifikat iz 2011. godine.”
Međutim, za uspješan falsifikat potreban je neopoziv sertifikat za potpisivanje koda koji je izdat prije 29. jula 2015. godine, zajedno sa privatnim ključem i šifrom sertifikata.
Cisco Talos je saopštio da je otkrio preko desetak sertifikata za potpisivanje koda sa ključevima i lozinkama sadržanim u PFX datoteci hostovanoj na GitHub-u u račvanom repozitorijumu FuckCertVerifyTimeValidity. Nije odmah jasno kako su ovi sertifikati dobijeni.
Štaviše, primjećeno je da je HookSignTool korišten za ponovno potpisivanje krekovanih drajvera kako bi se zaobišle provjere integriteta upravljanja digitalnim pravima (DRM), a glumac po imenu “Juno_Jr” objavio je krekovanu verziju PrimoCachea, legitimnog softverskog rešenja za keširanje, na kineskom forumu za razbijanje softvera 9. novembra 2022. godine.
“U krekovanoj verziji, zakrpljeni drajver je ponovo potpisan sa sertifikatom koji je prvobitno izdat ‘Shenzhen Luyoudashi Technology Co., Ltd.’, koji se nalazi u PFX datoteci na GitHubu”, rekli su Talos istraživači. “Ova mogućnost da date otkaz kod krekovanog drivera uklanja značajnu blokadu kada se pokušava zaobići DRM provjere kod potpisanog drivera.”
HookSignTool takođe koristi prethodno nedokumentovani drajver identifikovan kao RedDriver da krivotvori svoju vremensku oznaku potpisa. Aktivan od najmanje 2021. godine, funkcioniše kao otmičar pretraživača zasnovan na drajveru koji koristi Windows Filtering Platform (WFP) da presreće saobraćaj pretraživača i preusmeri ga na localhost (127.0.0.1).
Ciljni pretraživač se bira nasumično sa hard kodirane liste koja sadrži nazive procesa mnogih popularnih pretraživača na kineskom jeziku kao što su Liebao, QQ Browser, Sogou i UC Browser, kao i Google Chrome, Microsoft Edge i Mozilla Firefox.
„Prvo sam pronašao RedDriver dok sam istraživao krivotvorenje vremenske oznake sertifikata na Windows drajverima“ rekao je za Hacker News Chris Neal, terenski istraživač za Cisco Talos. “To je bio jedan od prvih uzoraka na koje sam naišao i koji je odmah bio sumnjiv. Ono što mi je privuklo pažnju je lista web pretraživača pohranjenih u RedDriver fajlu.”
Krajnji cilj ovog preusmjeravanja saobraćaja pretraživača nije jasan, iako je samo po sebi razumljivo da bi se takva mogućnost mogla zloupotrebiti da bi se mijenjao promet pretraživača na nivou paketa.
RedDriver lanci infekcije počinju izvršavanjem binarne datoteke pod nazivom “DnfClientShell32.exe”, koja zauzvrat pokreće šifrovanu komunikaciju sa serverom za komandu i kontrolu (C2) za preuzimanje malicioznog drajvera.
“Nismo uočili isporuku inicijalne datoteke, ali je vrlo vjerovatno da je datoteka bila upakovana u datoteku igre i da je bila smještena na malicioznom linku za preuzimanje” rekao je Neal. “Žrtva je vjerovatno mislila da preuzima datoteku iz legitimnog izvora i pokrenula je izvršnu datoteku. ‘DNFClient’ je naziv datoteke koja pripada ‘Dungeon Fighter Online’ koja je izuzetno popularna igra u Kini i koja se obično naziva ‘DNF .'”
„RedDriver su verovatno razvili visoko kvalifikovani hakeri jer je kriva učenja za razvoj malicioznih drajvera strma“ rekao je Cisco Talos. “Iako se čini da pretnja cilja na izvorne govornike kineskog, autori su vjerovatno i kineski govornici.”
„Autori su takođe pokazali poznavanje ili iskustvo sa životnim ciklusom razvoja softvera, još jednim skupom veština za koje je potrebno prethodno iskustvo u razvoju.“
Razvoj dolazi nakon što je Sophos rekao da je pronašao preko 100 malicioznih drajvera kernela koje su potpisali Microsoft i druge kompanije, od kojih neki datiraju još iz aprila, a korišteni su za sabotiranje sigurnosnog softvera da radi kako je dizajniran ili funkcioniše kao prikriveni rootkit koji može pratiti mrežni saobraćaj koristeći WFP.
“Čini se da je kreator malicioznog drajvera napravio jednu ‘roditeljsku’ verziju drajvera, a zatim pokrenuo nadređenu verziju kroz jedan ili više uslužnih programa za pakovanje jednom ili više puta, stvarajući u nekim slučajevima desetine ‘podređenih’ varijanti, od kojih su sve kreatori koji bi mogli predati Microsoft-u na potpisivanje“ rekao je istraživač Sophosa Andrew Brandt.
“Postoji mnogo prednosti za hakere da implementuju upravljačke programe u svom lancu infekcije, ali ih je mnogo teže razviti od malicioznog softvera u korisničkom načinu” rekao je Neal. “Upravljačke programe je teže otkriti za EDR i teško ih je analizirati, posebno ako postoji bilo kakva zamagljivanja.”
Izvor: The Hacker News
