Microsoft había dado su sello digital a un rootkit que había descifrado todos los comunicaciones encriptadas y los envió a los servidores controlados por el atacante. Este controlador malicioso se ha propagado en entornos de juegos. Este controlador, conocido como "Netfilter", tiene como propósito principal o función crítica actuar como rootkit que se comunica con las IP de comando y control (C2) chinas.
Descubrimiento:
Karsten Hahn, investigador de la empresa de seguridad G Data, descubrió este controlador utilizando el sistema de detección de malware de su empresa. La observación inicial se consideró una falsa alarma, ya que Microsoft había firmado digitalmente Netfilter bajo el Programa de Compatibilidad de Hardware de Windows de la empresa. Tras más pruebas e investigaciones, Karsten concluyó que no se trataba de una falsa advertencia ni de un resultado positivo. Él y sus colegas investigadores descubrieron que «la funcionalidad principal parece ser la interceptación de conexiones SSL. Además del componente de redirección de IP, también instala y protege un... certificado raíz en el registro” [1] (por el ingeniero inverso Johann Aydinbas en Twitter)
¿Qué es un rootkit?
Un rootkit es un tipo de malware diseñado para evitar o impedir que se muestre en directorios de archivos, otras funciones estándar del sistema operativo y monitores de tareas. Un certificado raíz se utiliza normalmente para autenticar el tráfico enviado a través de conexiones protegidas por el protocolo de seguridad de la capa de transporte (TLS); esto ayuda a cifrar los datos en tránsito y garantiza que el servidor determine si un usuario conectado es legítimo o un impostor.
Normalmente, estos Certificados TLS son emitidos por una autoridad de certificación (o CA) de confianza de Windows, y al instalar estos certificados raíz en Windows, los piratas informáticos pueden eludir el requisito de la CA.
Historia de origen
Se observó que el controlador Netfiler se comunicaba con IPs de C&C con sede en China, sin ofrecer ninguna funcionalidad legítima, lo que generó aún más sospechas. Por aquel entonces, Karsten Hahn, analista de malware de G Data, compartió la información de la firma en Twitter y contactó con Microsoft.
Según Hahn, cualquier código que se ejecute en modo kernel debe probarse y firmarse antes de su lanzamiento público para garantizar la estabilidad del sistema operativo. En ese momento, BleepingComputer también comenzó a observar el comportamiento de las URL de C2 y contactó a Microsoft para obtener una explicación válida.
Las primeras URL de C2 devuelven un conjunto de rutas adicionales separadas por el símbolo de barra vertical (“|”):
Cada uno de ellos tiene un propósito:
- La URL que termina en “/p” significa que está asociada con la configuración de proxy.
- “/s” denota direcciones IP de redirección codificadas.
- “/h?” sirve para representar el ID de la CPU.
- “/c” proporcionó un certificado raíz
- “/v?” denota la funcionalidad de actualización automática del malware.
Según BleepingComputer, la ruta “/v?” proporcionaba la URL del controlador Netfilter malicioso en cuestión (en “/d3”):
El investigador de G Data, Hahn, dedicó bastante tiempo a analizar a fondo el controlador y concluyó que este controlador posee una función de autoactualización. Según él, la muestra cuenta con una rutina de autoactualización que envía su hash MD5 al servidor a través de “hxxp://110.42.4.180:2081/v?v=6&m=".
El servidor luego responde con la URL de la última muestra con "OK" Si el modelo está actualizado, el malware reemplaza su archivo en consecuencia.
Fallo de seguridad
Microsoft anunció que está investigando a un actor malicioso que distribuyó controladores maliciosos (Netfilter) en entornos de juegos. Este actor envió controladores para su certificación a través del Programa de Compatibilidad de Hardware de Windows (WHCP). Dado que estos controladores fueron desarrollados por un tercero, Microsoft suspendió su cuenta y revisó sus envíos en busca de indicios adicionales de malware. La compañía (Microsoft) no encontró evidencia de que el certificado de firma del WHCP ni su infraestructura de firma se hubieran visto comprometidos. Por lo tanto, Microsoft agregó detecciones de Netfilter al motor antivirus de Windows Defender integrado en Windows y proporcionó esta detección a otros proveedores de antivirus.
Actualización sobre el malware [2]
- 26 de junio, 12:26 p. m. ET: Se aclaró que BleepingComputer no vio la lista del Departamento de Defensa que menciona explícitamente a la supuesta empresa china, contrariamente a lo que se detalla en el informe del investigador. También se contactó a Hahn para obtener una aclaración.
- 27 de junio, 04:58 AM ET: Una versión anterior de la publicación del blog mencionado Otro investigador, @cowonautEn una publicación anterior, se alegaba que la empresa mencionada había sido catalogada por el Departamento de Defensa de EE. UU. (DoD) como una empresa militar china comunista. Dicha afirmación fue retirada posteriormente de la publicación original del blog, y hemos actualizado nuestro artículo en consecuencia. Sin embargo, BleepingComputer no encontró a Ningbo Zhuo Zhi Innovation Network Technology Co., Ltd. en ninguna de las listas del DoD disponibles.
Conclusión
A pesar de las limitaciones, esta brecha de seguridad fue grave. El programa de certificación de Microsoft estaba diseñado para bloquear precisamente el tipo de ataque que G Data descubrió inicialmente. Microsoft aún no ha explicado cómo llegó a firmar digitalmente el malware; los representantes de la compañía también se negaron a dar explicaciones.
