Вредоносные драйверы Windows c подписью Microsoft используются в атаках программ-вымогателей
Вредоносные драйверы Windows c подписью Microsoft используются в атаках программ-вымогателей. Фото: СС0
Эта новость была опубликована совместно компаниями Microsoft, Mandiant, Sophos и SentinelOne. Исследователи объясняют, что хакеры угроз используют вредоносные аппаратные драйверы режима ядра, доверие к которым было подтверждено с помощью подписей Authenticode от Microsoft Windows Hardware Developer Program.
Из сообщения компании:
«Microsoft была проинформирована о том, что драйверы, сертифицированные Microsoft Windows Hardware Developer Program, злонамеренно использовались в действиях после эксплуатации. В этих атаках злоумышленник уже получил административные привилегии на скомпрометированных системах до использования драйверов. Мы были уведомлены об этой деятельности SentinelOne, Mandiant и Sophos 19 октября 2022 года и впоследствии провели расследование этой деятельности. Это расследование показало, что несколько учетных записей разработчиков для Microsoft Partner Center участвовали в отправке вредоносных драйверов для получения подписи Microsoft. Новая попытка отправки вредоносного драйвера на подпись 29 сентября 2022 года привела к блокировке аккаунтов продавцов в начале октября».
Когда аппаратные драйверы режима ядра загружаются в Windows, они получают наивысший уровень привилегий в операционной системе.
Эти привилегии могут позволить драйверу выполнять различные вредоносные задачи, которые обычно не разрешены приложениям пользовательского режима. Действия включают завершение работы программного обеспечения безопасности, удаление защищенных файлов и действия в качестве руткитов для сокрытия других процессов.
Начиная с Windows 10, Microsoft требует, чтобы аппаратные драйверы режима ядра были подписаны через программу Microsoft Windows Hardware Developer Program.
Поскольку разработчикам необходимо приобрести сертификат расширенной проверки (EV), пройти процесс идентификации и предоставить драйверы, проверенные Microsoft, многие платформы безопасности автоматически доверяют коду, подписанному Microsoft с помощью этой программы.
По этой причине возможность подписать Microsoft драйвер режима ядра для использования его в вредоносных кампаниях является ценным товаром. В компании не рассказали, как специалисты будут противодействовать зловредным подписанным драйверам.
Из сообщения компании:
«Microsoft Partner Center работает над долгосрочными решениями для устранения этих обманных практик и предотвращения будущих последствий для клиентов».
Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было