Depois de ser notificada por várias empresas de segurança, a Microsoft revogou muitos drivers assinados que haviam sido usados por agentes de ameaças, em muitos casos por cibercriminosos chineses.
Os drivers assinados podem ser muito úteis para os invasores, permitindo que eles obtenham controle total de um sistema já comprometido. Esses drivers podem ser usados para manipular processos do sistema, evitar produtos de segurança de endpoint e manter a persistência em um sistema.
As empresas de segurança cibernética geralmente se deparam com campanhas que abusam de motoristas assinados. Em dezembro de 2022, por exemplo, a Microsoft agiu depois que SentinelOne, Mandiant e Sophos avisaram que cibercriminosos estavam usando drivers maliciosos assinados para eliminar processos associados a produtos de segurança.
A Microsoft publicou um comunicado na época para informar aos usuários que os drivers certificados pelo Windows Hardware Developer Program (WHDP) estavam sendo usados por hackers com privilégios elevados na atividade pós-exploração. A empresa disse que a atividade se limitava ao abuso de algumas contas de programas de desenvolvedores e observou que seus sistemas não foram comprometidos.
Na terça-feira, a gigante da tecnologia lançou um anúncio muito semelhante consultivodesta vez dando crédito à Sophos, Cisco e Trend Micro por informá-la sobre o abuso de drivers assinados.
“Relatado pela primeira vez pela Sophos e, posteriormente, pela Trend Micro e pela Cisco, a Microsoft investigou e confirmou uma lista de drivers certificados pelo WHCP de terceiros usados em campanhas de ameaças cibernéticas. Por causa da intenção e funcionalidade dos drivers, a Microsoft os adicionou à lista de revogação do Windows Driver.STL”, disse a Microsoft em um comunicado anexo. documento de apoio.
Sophos, Cisco e Trend Micro publicaram uma postagem em seu blog descrevendo suas descobertas na terça-feira.
Sophos identificado 133 drivers maliciosos, incluindo 100 assinados com um certificado Microsoft WHCP. Muitos dos drivers não assinados pelo WHCP foram emitidos para empresas chinesas.
Alguns dos drivers foram usados para eliminar produtos de segurança de terminais, enquanto outros agiam como rootkits, executando silenciosamente em segundo plano. Os rootkits incluíam famílias conhecidas como FU, Fivesys, FK_undead ou Netfilter. Alguns deles permitem que os invasores ignorem os recursos de segurança, como o recurso Windows User Account Controls (UAC), no sistema comprometido.
A postagem no blog da Cisco descreve alguns dos ferramentas de código aberto abusadas por agentes de ameaças para alterar a data de assinatura dos drivers do modo kernel, permitindo que eles carreguem drivers maliciosos assinados com certificados expirados. Os invasores estão “aproveitando uma brecha na política do Windows que permite a assinatura e o carregamento de drivers de modo kernel com assinatura cruzada com registro de data e hora de assinatura antes de 29 de julho de 2015”.
Um dos drivers maliciosos analisados pela Cisco, chamado , foi usado por cibercriminosos chineses para interceptar o tráfego do navegador de usuários chineses.
A Trend Micro detalhou uma campanha envolvendo um novo rootkit assinado acredita-se que tenha sido usado pelo agente da ameaça que também está por trás do rootkit Fivesys.
“Esse ator malicioso é originário da China e suas principais vítimas são o setor de jogos na China. O malware parece ter passado pelo processo do Windows Hardware Quality Labs (WHQL) para obter uma assinatura válida”, disse a empresa.