Microsoft призналась в подписании вредоносного драйвера

Компания Microsoft признала, что подписала вредоносный драйвер, который теперь распространяется в игровой среде. Драйвер под названием Netfilter на самом деле является руткитом, подключающимся к C&C-инфраструктуре с китайскими IP-адресами.

Специалист по вредоносному ПО компании G Data Карстен Хан (Karsten Hahn) обнаружил неладное на прошлой неделе, когда система оповещения о вредоносном ПО G Data обозначила Netfilter как вредоносную программу. Хан уведомил Microsoft о проблеме взялся за отслеживание и изучение драйвера.

Данный инцидент в очередной раз демонстрирует риски, связанные с недостаточным обеспечением безопасности цепочки поставок. На этот раз проблема связана с недочетами в используемом Microsoft процессе подписания кода.

Как пояснил исследователь, начиная с Windows Vista, в целях обеспечения стабильности работы системы, любой код, запущенный в режиме ядра, должен быть протестирован и подписан до публичного релиза. Драйверы без сертификата Microsoft по умолчанию устанавливаться не могут.

Как показывает анализ URL-адресов используемой Netfilter C&C-инфраструктуры, первый URL-адрес возвращает набор дополнительных маршрутов (URL), разделенных вертикальной чертой ("|"). Каждый из них играет свою роль:

• URL-адрес, заканчивающийся на "/p", связан с настройками прокси-сервера;

• "/s" обеспечивает закодированную переадресацию IP-адресов;

• "/h?" предназначен для получения CPU-ID;

• "/c" обеспечивает корневой сертификат;

• "/v?" связан с функцией автоматического обновления вредоносного ПО.

Исследователь G Data провел тщательный анализ драйвера и пришел к выводу, что он является вредоносным. Хан проанализировал драйвер, его функции самообновления и индикаторы компрометации (IOC) и изложил подробности в блоге.

Примечательно, что, согласно WHOIS, IP-адрес 110.42.4.180, к которому подключается Netfilter, принадлежит компании Ningbo Zhuo Zhi Innovation Network Technology.

В настоящее время Microsoft проводит тщательное расследование инцидента. Свидетельств того, что кто-то похитил ее сертификат для подписи кода, пока не обнаружено. Похоже, злоумышленник воспользовался процессом Microsoft по отправке драйверов и сумел легитимным образом получить подписанный Microsoft двоичный файл через программу Windows Hardware Compatibility Program.

Microsoft приостановила действие учетной записи злоумышленника и проверила все отправленные им материалы на предмет наличия в них признаков вредоносного ПО.

По данным компании, с помощью драйвера злоумышленник в основном нацеливался на игровой сектор, особенно в Китае, и пока нет никаких свидетельств того, что были затронуты корпоративные среды. Microsoft пока воздерживается от приписывания этого инцидента правительству какой-либо страны.