Kibernetički kriminalci sve češće iskorištavaju legitimne procese potpisivanja Windows upravljačkih programa (drivera) kako bi implementirali sofisticirani zlonamjerni softver na razini kernela. Novo istraživanje otkriva zabrinjavajući trend prema kojem je od 2020. godine kompromitirano preko 620 upravljačkih programa.
Sveobuhvatna istraga sigurnosnih stručnjaka otkrila je kako akteri prijetnji sustavno zloupotrebljavaju Microsoftov Program kompatibilnosti hardvera za Windows (WHCP) i potvrde za proširenu validaciju (EV) kako bi legalizirali zlonamjerne upravljačke programe kernela. Time učinkovito zaobilaze tradicionalne sigurnosne mehanizme i postižu neviđenu kontrolu nad sustavom.
Od 2020. godine, sigurnosni stručnjaci identificirali su više od 620 zlonamjernih upravljačkih programa, preko 80 kompromitiranih potvrda te 60 WHCP računa povezanih s kampanjama aktera prijetnji. Ovakav opseg predstavlja značajnu eskalaciju napada na razini kernela. Istraživanje tvrtke Group-IB o obavještajnim podacima o prijetnjama otkriva da je otprilike 32% analiziranih zlonamjernih upravljačkih programa funkcioniralo kao “loaderi”, sposobni preuzimati sekundarne terete (payloads) sa servera za zapovijedanje i kontrolu.
Zloupotreba je dosegla vrhunac 2022. godine, kada je preko 250 upravljačkih programa i otprilike 34 potvrde te WHCP računa identificirano kao potencijalno kompromitirano od strane sigurnosnih stručnjaka. Ovaj porast je potom uslijedio pad, vjerojatno zbog povećanog izvješćivanja u industriji i mjera odgovora koje je poduzeo Microsoft.
Istraživanje je razotkrilo uspješnu podzemnu ekonomiju za potvrde o potpisivanju koda, s EV potvrdama koje se prodaju po cijenama od 2.000 do 6.500 dolara na kriminalnim forumima. Ove potvrde, koje zahtijevaju temeljitu provjeru pravnog statusa tvrtke, pribavljaju se putem lažnih poslovnih registracija, a ne tradicionalnom krađom potvrda. Više dobavljača posluje putem online tržišta, a neki su u stanju isporučiti potvrde u roku od samo 2-5 dana. Podzemno tržište preusmjerilo se s primarne prodaje ukradenih potvrda na pružanje svježe izdatih potvrda koristeći lažne identitete tvrtki, što značajno otežava njihovo otkrivanje.
Moderni kernel loaderi predstavljaju novi sloj obmanjivanja u ovim napadima. Ovi upravljački programi prve faze dizajnirani su za učitavanje sekundarnih komponenti, uključujući i nepotpisane upravljačke programe koji koriste reflektirajuće tehnike, kao i službeno instalirane potpisane upravljačke programe. Značajni primjeri uključuju bankovni trojanac Blackmoon, koji se razvio u korištenje Hugo upravljačkog programa, potpisanog kernel loadera koji dešifririra i učitava nepotpisane upravljačke programe iz tvrdokorno kodiranih putanja datoteka. Obitelj zlonamjernog softvera POORTRY demonstrirala je ovu evoluciju, prešavši iz jednostavnog deaktivatora EDR-a u potpuno funkcionalan EDR wiper sposoban za brisanje kritičnih datoteka sigurnosnog softvera. POORTRY, koji koriste grupe za ransomware poput BlackCat, Cuba i LockBit, predstavlja sve veću agresivnost napada na razini kernela.
Analiza otkriva značajnu koncentraciju zlonamjerne aktivnosti koja potječe od kineskih aktera prijetnji, pri čemu je većina potvrda i WHCP računa povezana s kineskim tvrtkama, temeljem analize metapodataka. Obitelj rootkita FiveSys bila je posebno aktivna, ciljajući kineski gaming sektor, a pritom zadržavajući digitalne potpise koje je izdalo društvo Microsoft. Sigurnosni stručnjaci identificirali su preklapajuću infrastrukturu između naizgled nepovezanih kampanja, što sugerira koordinirane napore više grupa aktera prijetnji koje koriste zajedničke mogućnosti potpisivanja.
Microsoft je implementirao nekoliko obrambenih mjera, uključujući Microsoftov blok popis ranjivih upravljačkih programa, koji je omogućen prema zadanim postavkama na sustavima Windows 11. Tvrtka je također opozvala brojne potvrde i suspendirala račune programera korištene u zlonamjernim kampanjama. Međutim, istraživanje ukazuje da su snažniji mehanizmi provjere ključni, posebno zahtijevajući rigoroznije postupke provjere za izdavanje EV potvrda, uključujući potencijalne provjere fizičke prisutnosti kako bi se osigurala zakonitost. Pojava podzemnih pružatelja usluga izdavanja potvrda za upravljačke programe ističe snalažljivost aktera prijetnji i otkriva kritične ranjivosti u trenutnim procesima potpisivanja upravljačkih programa, naglašavajući hitnu potrebu za poboljšanim sigurnosnim mjerama u ekosustavu digitalnih potvrda.