Microsoft dokumenterede for nylig en spændende cybersikkerhedsulykke, der involverede en trusselsaktør, der distribuerede ondsindede drivere på tværs af spilmiljøer.
Netfilterdriveren: en trussel mod spilfællesskabet
Åbenbart, trusselsaktøren indsendte en bestemt driver kaldet Netfilter, bygget af en tredjepart, til certificeringer via Windows Hardwarekompatibilitetsprogrammer. Den nævnte konto er nu fjernet, og alle dens bidrag er blevet gennemgået for tegn på malware, Microsoft sagde.
Relaterede: Facefish-operationen: Linux målrettet af New Backdoor og Rootkit
”Skuespillerens aktivitet er begrænset til spilbranchen specifikt i Kina og ser ikke ud til at være målrettet mod virksomhedsmiljøer," virksomheden angivet. Det ser ud til, at målet med hele operationen er at bruge driveren til at spoof geo-placeringer og snyde systemet for at afspille det fra hvor som helst. Malwaren giver trusselsaktører fordelen ved at præstere bedre i spil, og "muligvis udnytte andre spillere ved at kompromittere deres konti gennem almindelige værktøjer som keyloggers."
Det er bemærkelsesværdigt, at den ondsindede driver først blev set af sikkerhedsforsker Karsten Hahn og hans firma G Data.
”Sidste uge underrettede vores alarmsystem os om en mulig falsk positiv, fordi vi registrerede en navngivet driver “Netfilter” der blev underskrevet af Microsoft. Siden Windows Vista, enhver kode, der kører i kernetilstand, skal testes og underskrives inden offentliggørelse for at sikre operativsystemets stabilitet. Drivere uden et Microsoft-certifikat kan ikke installeres som standard,”Hahn skrev i sin artikel med en detaljeret beskrivelse af resultaterne.
Da detektionen viste sig at være en falsk positiv, forskeren videresendte resultaterne til Microsoft. Virksomheden reagerede ved hurtigt at tilføje malware-signaturer til Windows Defender. I øjeblikket, rootkit har en betydelig detektionsrate på VirusTotal, med 35 ud af 68 sikkerhedsmotorer, der registrerer det. Nogle påvisninger inkluderer Trojan.Agent.NtRootKit, Trojan.Agent, Trojan.NtRootKit, etc. Det vides endnu ikke, hvordan driveren bestod Microsofts signeringsproces med succes.
En af de interessante ting ved Netfilter er, at nogle af dens strenge blev kodet. Som Hanh påpegede, det er underligt, at en chauffør tilslører en del af deres strenge. I løbet af sin analyse, forskeren fandt også lignende prøver på VirusTotal, med den ældste, der går tilbage til marts 2021.
Hvad angår kernefunktionaliteten af malware, det ser ud til at være IP-omdirigering. Det er også bemærkelsesværdigt, at rootkit modtog et rodcertifikat via en bestemt sti (hxxp://110.42.4.180:2081/c), skriver det til \Registreringsdatabase Maskine SOFTWARE Microsoft SystemCertificates ROOT Certifikater .
Endelig, de teknikker, der anvendes i angrebet, finder sted i en post-udnyttelsesfase. Dette betyder, at trusselsaktøren skal have administrative rettigheder til systemet for at kunne køre installationsprogrammet, opdater registeret, og installer den ondsindede Netfilter-driver. På denne måde, det sikrer at indlæse næste gang systemet starter.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: