Google云计算旗下的安全公司Mandiant以及SentinelOne联手调查,发现多个可终止Windows系统上特定程序的恶意驱动程序,研究人员提到,在这种情况,恶意驱动程序通常会尝试终止端点的侦测和回应代理(EDR),不过,这项攻击更大的问题在于,该恶意驱动程序拥有合法签章,由微软Windows硬件开发人员计划认证。
这个恶意程序带有微软Windows硬件兼容性计划Authenticode签章的POORTRY驱动程序样本,研究人员仔细分析了该驱动程序的Authenticode元数据,发现该恶意驱动程序,是由Windows硬件兼容性计划签署,也就是说,恶意驱动程序是由微软直接签署,而且研究人员还发现几个与不同攻击者关联的恶意软件家族,也已经通过这项程序进行签署,研究人员确定至少有9个组织利用这项非法手法,生成恶意驱动程序。
驱动程序签章是Windows操作系统的重要安全功能,其要求驱动程序需要拥有有效的加密签章,才能被加载到系统中,也就是该签章将开发人员核准为可信任的实体,而这些开发人员的程序代码,继承了这种信任。
研究人员提到,这种验证方式对打击核心模式Rootkit攻击非常重要,核心模式Rootkit是能够以最高权限运行的恶意软件,微软从侦测到根除核心模式Rootkit,历经了一段时间的努力。开发人员的驱动程序要能获得Windows硬件品质实验室(WHQL)签章,需满足一组特殊标准,这个过程依赖严格的检查,以确保请求的开发人员是真实存在,且没有提交恶意驱动程序。
开发人员首先必须获得扩展验证(Extended Validation,EV)凭证,并在注册Windows硬件开发人员计划后,将其附加到账户中,EV凭证要求开发人员将私钥存储在物理的权限上,并执行一系列检查以验证请求组织的身份。
完成之后开发人员必须通过合作伙伴入口,提交驱动程序组件进行一系列测试和签署,确保兼容性且不存在任何恶意意图,在通过测试后,微软便会使用Windows Hardware Compatibility Publisher凭证对其进行签署。
研究人员表示,这个过程的主要问题,是来自于大多数安全解决方案信任微软签章的任何内容,尤其是核心模式驱动程序。虽然微软在Windows 10开始,要求开发人员使用Windows硬件开发人员中心仪表板入口,对所有核心模式驱动程序进行签章,任何未通过该程序的内容都无法加载到新的Windows版本中。
即便这项新要求强化了驱动程序的控制和可见性,但是攻击者通过开发驱动程序,并且使驱动程序在微软的审查过程无法发现其恶意意图,进而玩弄这个程序。
微软已经完成该事件调查,判断该恶意攻击行动只涉及几个遭滥用的开发人员计划账户,微软已经将合作伙伴的卖方账户暂时停权,并执行进一步侦测措施,避免往后又出现合法签署的恶意驱动程序,微软建议用户安装最新的Windows更新,并且更新杀毒和端点侦测产品至最新状态,同时激活最新签章,以防范相关攻击。