Microsoft heeft onlangs een intrigerend cyberbeveiligingsincident gedocumenteerd waarbij een dreigingsactor betrokken was die kwaadaardige stuurprogramma's verspreidde over game-omgevingen.
Het Netfilter-stuurprogramma: een bedreiging voor de gaminggemeenschap
klaarblijkelijk, de dreigingsactor heeft een specifieke driver ingediend met de naam Netfilter, gebouwd door een derde partij, voor certificeringen via de Windows Hardware Compatibility Programs. Het genoemde account is nu verwijderd, en al zijn inzendingen zijn beoordeeld op tekenen van malware, Microsoft zei.
Verwant: De Facefish-operatie: Linux gericht op nieuwe backdoor en rootkit
“De activiteit van de acteur is beperkt tot de gamingsector, specifiek in China en lijkt zich niet te richten op bedrijfsomgevingen," het bedrijf gespecificeerd. Het lijkt erop dat het doel van de hele operatie is om de bestuurder te gebruiken om geolocaties te vervalsen en het systeem te bedriegen om het overal te kunnen spelen. De malware geeft bedreigingsactoren het voordeel om beter te presteren in games, en "mogelijk andere spelers uitbuiten door hun accounts te compromitteren via algemene tools zoals keyloggers."
Het is opmerkelijk dat de kwaadaardige driver voor het eerst werd opgemerkt door beveiligingsonderzoeker Karsten Hahn en zijn bedrijf G Data.
“Vorige week heeft ons waarschuwingssysteem ons op de hoogte gebracht van een mogelijk vals positief resultaat omdat we een bestuurder met de naam “Netfilter” dat is ondertekend door Microsoft. Sinds Windows Vista, elke code die in kernelmodus wordt uitgevoerd, moet worden getest en ondertekend voordat deze openbaar wordt vrijgegeven om stabiliteit voor het besturingssysteem te garanderen. Stuurprogramma's zonder Microsoft-certificaat kunnen niet standaard worden geïnstalleerd,” schreef Hahn in zijn artikel waarin hij de bevindingen beschrijft.
Aangezien de detectie een vals positief bleek te zijn, de onderzoeker stuurde de bevindingen door naar Microsoft. Het bedrijf reageerde door snel malwarehandtekeningen toe te voegen aan Windows Defender. Momenteel, de rootkit heeft een aanzienlijk detectiepercentage op VirusTotal, met 35 uit 68 beveiligingsengines die het detecteren. Sommige detecties omvatten Trojan.Agent.NtRootKit, Trojan.Agent, Trojan.NtRootKit, etc. Het is nog niet bekend hoe het stuurprogramma het ondertekeningsproces van Microsoft met succes heeft doorlopen.
Een van de interessante dingen over Netfilter is dat sommige van zijn strings gecodeerd waren. Zoals opgemerkt door Hanh, het is vreemd dat een bestuurder een deel van hun snaren versluiert. Tijdens zijn analyse, de onderzoeker vond ook soortgelijke monsters op VirusTotal, waarvan de oudste dateert uit maart 2021.
Wat betreft de kernfunctionaliteit van de malware, het lijkt IP-omleiding te zijn. Het is ook opmerkelijk dat de rootkit een rootcertificaat heeft ontvangen via een specifiek pad (hxxp://110.42.4.180:2081/c), schrijven naar \RegistryMachineSOFTWAREMicrosoftSystemCertificatesROOTCertificates.
Eindelijk, de technieken die bij de aanval worden gebruikt, vinden plaats in een post-exploitatiefase. Dit betekent dat de dreigingsactor beheerdersrechten op het systeem moet hebben om het installatieprogramma te kunnen uitvoeren, update het register, en installeer het kwaadaardige Netfilter-stuurprogramma. Zo, het zorgt ervoor dat het de volgende keer dat het systeem opstart wordt geladen.