Istraživači kibernetičke bezbjednost otkrili su novi rootkit potpisan od strane Microsoft-a koji je dizajniran da komunicira s infrastrukturom napada koju kontrolišu hakeri.
Trend Micro je klaster aktivnosti pripisao istom hakeru koji je ranije identifikovan kao haker iza FiveSys rootkit-a, koji je izašao na vidjelo u oktobru 2021. godine.
“Ovaj maliciozni haker potiče iz Kine i njegove glavne žrtve su sektor igara u Kini” rekli su Mahmoud Zohdy, Sherif Magdy i Mohamed Fahmy iz Trend Micro-a. “Čini se da je njihov maliciozni softver prošao kroz Windows Hardware Quality Labs (WHQL) proces za dobijanje valjanog potpisa.”
Otkriveno je više varijanti rootkit-a koji obuhvata osam različitih klastera, sa 75 takvih drajvera potpisanih pomoću Microsoft-ovog WHQL programa 2022. i 2023. godine.
Trend Micro analiza nekih od uzoraka otkrila je prisustvo poruka za otklanjanje grešaka u izvornom kodu, što ukazuje da je operacija još uvijek u fazi razvoja i testiranja.
U narednim koracima, drajver prve faze onemogućuje kontrolu korisničkog naloga (UAC) i način bezbjedne radne površine uređujući registar i inicijalizuje Winsock Kernel (WSK) objekte za pokretanje mrežne komunikacije sa udaljenim serverom.
On dalje periodično proziva server kako bi dohvatio više korisnih podataka i učitao ih direktno u memoriju nakon dekodiranja i dešifrovanja primljenih podataka, efektivno funkcionišući kao prikriveni učitavač upravljačkih programa kernela koji može zaobići detekcije.
“Glavni binarni program djeluje kao univerzalni učitavač koji omogućava napadačima da direktno učitaju nepotpisani modul kernela druge faze” objasnili su istraživači. “Svaki dodatak za drugu fazu je prilagođen mašini žrtve na kojoj je raspoređen, a neki sadrže čak i prilagođeni kompajlirani drajver za svaku mašinu. Svaki dodatak ima specifičan skup radnji koje treba izvršiti iz prostora kernela.”
Dodaci, sa svoje strane, dolaze sa različitim mogućnostima za postizanje postojanosti, deaktiviranje Microsoft Defender Antivirus-a i postavljanje proxy-a na mašinu i preusmjeravanje prometa pretraživanja weba na udaljeni proxy server.
Slično kao i FiveSys, nova detekcija rootkit-a ograničena je isključivo na Kinu. Za jednu od sumnjivih ulaznih tačaka za ove infekcije se kaže da je trojanizovana kineska igra, koja odražava Cisco Talos otkriće malicioznog drajvera pod nazivom RedDriver.
Nalazi se poklapaju s drugim izvještajima Cisco Talosa i Sophosa o korišćenju malicioznih drajvera za kernel-mode koje potpisuje Microsoft za aktivnosti nakon eksploatacije, pri čemu hakeri na kineskom jeziku koriste softver otvorenog koda popularan u zajednici za razvoj video igara kako bi zaobišli ograničenja koja je nametnuo tehnološki gigant.
Otkriveno je čak 133 maliciozna drajvera potpisana legitimnim digitalnim sertifikatima, od kojih 81 može ukinuti antivirusna rešenja na sistemima žrtava. Preostali upravljački programi su rootkit-ovi dizajnirani za tajno praćenje osjetljivih podataka koji se šalju putem interneta.
Činjenica da su ovi drajveri potpisani od strane Windows programa za kompatibilnost hardvera (WHCP) znači da ih napadači mogu instalirati na provaljene sisteme bez podizanja ikakvih upozorenja i nastaviti sa obavljanjem maliciozne aktivnosti praktično neometano.
“Budući da drajveri često komuniciraju sa ‘jezgrom’ operativnog sistema i učitavaju se prije sigurnosnog softvera, kada su zloupotrebljeni, mogu biti posebno efikasni u onemogućavanju sigurnosne zaštite – posebno kada ih potpiše ovlašteni autoritet” Christopher Budd, direktor pretnje istraživanje u Sophos X-Ops, rekao je.
Microsoft je, kao odgovor na otkrivanje podataka, rekao da je implementovao zaštitu od blokiranja i suspendovao naloge prodavača partnera koji su bili uključeni u incident kako bi zaštitio korisnike od budućih pretnji.
Ako ništa drugo, razvoj daje sliku evoluirajućeg vektora napada koji protivnici aktivno koriste za dobijanje privilegovanog pristupa Windows mašinama i detekciju sidetep-a od strane bezbedjnosnog softvera.
“Hakeri će nastaviti da koriste rootkit-ove da sakriju maliciozni kod od sigurnosnih alata, narušavaju odbranu i lete ispod radara u dužem vremenskom periodu” rekli su istraživači. “Ovi rootkit-ovi će imati veliku upotrebu od sofistikovanih grupa koje imaju i vještine za obrnuti inženjering komponenti sistema niskog nivoa i potrebne resurse za razvoj takvih alata.”
Izvor: The Hacker News