A Microsoft revogou várias contas de desenvolvedores de hardware da Microsoft depois que drivers assinados por meio de seus perfis foram usados em ataques cibernéticos, incluindo incidentes de ransomware.
A notícia vem em uma divulgação coordenada entre Microsoft , Mandiant , Sophos e SentinelOne . Os pesquisadores explicam que os agentes de ameaças estão utilizando drivers de hardware de modo kernel maliciosos cuja confiança foi verificada com assinaturas Authenticode do Windows Hardware Developer Program da Microsoft .
"A Microsoft foi informada de que drivers certificados pelo Windows Hardware Developer Program da Microsoft estavam sendo usados maliciosamente em atividades pós-exploração. Nesses ataques, o invasor já havia obtido privilégios administrativos em sistemas comprometidos antes do uso dos drivers", explica o comunicado da Microsoft. .
“Fomos notificados sobre essa atividade pela SentinelOne, Mandiant e Sophos em 19 de outubro de 2022 e, posteriormente, realizamos uma investigação sobre essa atividade”.
“Esta investigação revelou que várias contas de desenvolvedores para o Microsoft Partner Center estavam envolvidas no envio de drivers maliciosos para obter uma assinatura da Microsoft”.
"Uma nova tentativa de enviar um driver malicioso para assinatura em 29 de setembro de 2022 levou à suspensão das contas dos vendedores no início de outubro."
Assinando drivers de modo kernel
Quando os drivers de hardware do modo kernel são carregados no Windows, eles obtêm o nível de privilégio mais alto no sistema operacional.
Esses privilégios podem permitir que um driver execute várias tarefas maliciosas que geralmente não são permitidas para aplicativos de modo de usuário. As ações incluem encerrar o software de segurança, excluir arquivos protegidos e atuar como rootkits para ocultar outros processos.
Desde o Windows 10, a Microsoft exige que os drivers de hardware do modo kernel sejam assinados por meio do Windows Hardware Developer Program da Microsoft.
Como os desenvolvedores precisam adquirir um certificado de validação estendida (EV), passar por um processo de identificação e enviar drivers examinados pela Microsoft, muitas plataformas de segurança confiam automaticamente no código assinado pela Microsoft por meio desse programa.
Por esse motivo, a capacidade de assinar um driver de modo kernel da Microsoft para usá-lo em campanhas maliciosas é um bem precioso.
Kit de ferramentas usado para encerrar o software de segurança
Em relatórios divulgados hoje, os pesquisadores explicam como encontraram um novo kit de ferramentas composto por dois componentes chamados STONESTOP (carregador) e POORTRY (driver de modo kernel) sendo usado em ataques "traga seu próprio driver vulnerável" (BYOVD).
De acordo com Mandiant e SentinelOne, STONESTOP é um aplicativo de modo de usuário que tenta encerrar os processos de software de segurança de endpoint em um dispositivo. Outra variante inclui a capacidade de substituir e excluir arquivos.
Como os processos de software de segurança geralmente são protegidos contra adulteração por aplicativos regulares, o STONESTOP carrega o driver de modo kernel POORTRY assinado pela Microsoft para encerrar os processos protegidos associados ou serviços do Windows.
“O STONESTOP funciona como um carregador/instalador para POORTRY, bem como um orquestrador para instruir o driver sobre quais ações executar”, explica o relatório do SentinelLabs.
Vinculado a ransomware e trocadores de SIM
As três empresas viram o kit de ferramentas usado por diferentes agentes de ameaças.
A equipe de resposta rápida da Sophos encerrou um ataque em um engajamento de resposta a incidentes antes que os hackers pudessem distribuir a carga final.
No entanto, a Sophos atribuiu esse ataque com 'alta confiança' à operação de ransomware Cuba , que anteriormente usava uma variante desse malware.
“Em incidentes investigados pela Sophos, agentes de ameaças vinculados ao ransomware Cuba usaram o utilitário de carregamento BURNTCIGAR para instalar um driver malicioso assinado usando o certificado da Microsoft”, explica Sophos.
O SentinelOne também viu esse kit de ferramentas assinado pela Microsoft ser usado em ataques contra empresas de telecomunicações, BPO, MSSP e serviços financeiros. Em um caso, eles o viram sendo usado pela operação Hive Ransomware contra uma empresa do setor médico.
“Notavelmente, o SentinelLabs observou um ator de ameaça separado também utilizando um driver assinado pela Microsoft semelhante, o que resultou na implantação do ransomware Hive contra um alvo na indústria médica, indicando um uso mais amplo dessa técnica por vários atores com acesso a ferramentas semelhantes”. explicaram os pesquisadores do SentinelLabs.
A Mandiant, por outro lado, viu um agente de ameaça identificado como UNC3944 utilizando o kit de ferramentas em ataques já em agosto de 2022, conhecido por ataques de troca de SIM.
"A Mandiant observou UNC3944 utilizando malware que foi assinado por meio do processo de assinatura de atestado. UNC3944 é um grupo de ameaças com motivação financeira que está ativo desde pelo menos maio de 2022 e geralmente obtém acesso inicial à rede usando credenciais roubadas obtidas de operações de phishing por SMS", detalhou relatório de Mandiant.
Como vários clusters de ameaças estão usando os drivers assinados, não está claro como todos eles obtiveram acesso a kits de ferramentas assinados pela Microsoft para uso em ataques.
Tanto a Mandiant quanto a SentinelOne acreditam que o kit de ferramentas, ou pelo menos a assinatura de código, vem de um fornecedor ou serviço que outros agentes de ameaças pagam para acessar.
"Outras evidências que apóiam a teoria do 'fornecedor' decorrem da funcionalidade e design semelhantes dos drivers. Embora tenham sido usados por dois agentes de ameaças diferentes, eles funcionaram da mesma maneira. Isso indica que possivelmente foram desenvolvidos pela mesma pessoa, então posteriormente vendido para uso por outra pessoa." - Sentinela Um."A Mandiant observou anteriormente cenários em que se suspeita que grupos utilizam um serviço criminoso comum para assinatura de código. Este não é um fenômeno novo e foi documentado pelo projeto Certified Malware da Universidade de Maryland em 2017. É nisso que a Mandiant acredita está ocorrendo com esses drivers assinados com atestados suspeitos e amostras assinadas de EV relacionadas." - Mandante.
A Mandiant diz que pode extrair os seguintes nomes de organizações usados para assinar os envios de driver à Microsoft.
Qi Lijun
Luck Bigger Technology Co., Ltd
XinSing Network Service Co., Ltd
Hangzhou Shunwang Technology Co.,Ltd
Fuzhou Superman
Beijing Hongdao Changxing International Trade Co., Ltd.
Fujian Altron Interactive Entertainment Technology Co., Ltd.
Xiamen Hengxin Excellence Network Technology Co., Ltd.
Dalian Zongmeng Network Technology Co., Ltd.
Resposta da Microsoft
A Microsoft lançou atualizações de segurança para revogar os certificados usados por arquivos maliciosos e já suspendeu as contas usadas para enviar os drivers a serem assinados.
Novas assinaturas do Microsoft Defender (1.377.987.0) também foram lançadas para detectar drivers assinados legítimos em ataques pós-exploração.
"A Microsoft está trabalhando com parceiros do Microsoft Active Protections Program (MAPP) para ajudar a desenvolver mais detecções e proteger melhor nossos clientes compartilhados", explicou a Microsoft.
“O Microsoft Partner Center também está trabalhando em soluções de longo prazo para lidar com essas práticas enganosas e evitar impactos futuros nos clientes”.
No entanto, a Microsoft ainda não compartilhou como os drivers maliciosos passaram no processo de revisão em primeiro lugar.
A BleepingComputer entrou em contato com a Microsoft com mais perguntas sobre o processo de consultoria e revisão, mas a Microsoft disse que não tinha mais nada a compartilhar.
