De door Microsoft ondertekende rootkit-malware die alle versleutelde communicatie kan decoderen

Microsoft heeft zijn digitale goedkeuring gegeven aan een rootkit die alle gecodeerde communicatie en stuurde ze naar de door de aanvaller gecontroleerde servers. Deze kwaadaardige driver is verspreid binnen game-omgevingen. Deze driver staat bekend als "Netfilter", waarvan het primaire doel of de cruciale rol is om te fungeren als rootkit die communiceert met de Chinese command-and-control (C2) IP's. 

De reis van mijn leven

Karsten Hahn, onderzoeker bij beveiligingsbedrijf G Data, ontdekte deze driver met behulp van het malwaredetectiesysteem van zijn bedrijf. De eerste waarneming werd als vals alarm bestempeld, omdat Microsoft Netfilter digitaal had ondertekend onder het Windows Hardware Compatibility Program van het bedrijf. Na verder testen en onderzoek concludeerde Karsten dat dit geen valse waarschuwing of positief was. Hij en zijn collega-onderzoekers ontdekten dat "de kernfunctionaliteit lijkt te bestaan ​​uit het afluisteren van SSL-verbindingen. Naast de IP-omleidingscomponent installeert en beschermt het ook een root certificaat in het register” [1] (door reverse engineer Johann Aydinbas op Twitter)

Wat is een rootkit?

Een rootkit is een type malware dat is geschreven om te voorkomen dat het wordt weergegeven in bestandsmappen, andere standaard besturingssysteemfuncties en taakmonitors. Een rootcertificaat wordt meestal gebruikt om verkeer te verifiëren dat wordt verzonden via verbindingen die worden beschermd door het Transport Layer Security-protocol. Dit helpt bij het versleutelen van de gegevens tijdens de overdracht en zorgt ervoor dat de server kan vaststellen of een verbonden gebruiker authentiek is of een bedrieger.

Meestal zijn deze TLS-certificaten worden uitgegeven door een door Windows vertrouwde certificeringsinstantie (CA). Door deze basiscertificaten in Windows te installeren, kunnen hackers de CA-vereiste omzeilen.

Origin Story

De Netfiler-driver communiceerde met in China gevestigde C&C-IP's zonder enige legitieme functionaliteit, wat tot verdere verdenkingen leidde. Rond deze tijd deelde Karsten Hahn, malware-analist bij G Data, de handtekeninginformatie openbaar op Twitter en nam hij contact op met Microsoft.

Volgens Hahn moet alle code die in de kernelmodus draait, worden getest en ondertekend voordat deze openbaar wordt gemaakt om de stabiliteit van het besturingssysteem te garanderen. BleepingComputer begon in die tijd ook het gedrag van C2-URL's te observeren en nam contact op met Microsoft om een ​​geldige reden of uitleg te krijgen.

 De eerste paar C2 URL's retourneren een set van meer routes gescheiden door het pijpsymbool ("|"):

Elk van deze dient een doel:

• De URL die eindigt op “/p” betekent dat deze gekoppeld is aan proxy-instellingen
• “/s” duidt op gecodeerde omleidings-IP-adressen.
• “/h?” wordt gebruikt om de CPU-ID weer te geven.
• “/c” gaf een rootcertificaat
• “/v?” geeft de zelf-updatefunctionaliteit van de malware aan.

Volgens BleepingComputer leverde het pad “/v?” de URL op naar de betreffende kwaadaardige Netfilter-driver (op “/d3”):

G Data-onderzoeker Hahn besteedde veel tijd aan het grondig analyseren van de driver, en de resultaten concludeerden dat deze driver een zelfupdatefunctie heeft. Volgens hem heeft het monster een zelfupdateroutine die zijn MD5-hash naar de server stuurt via "hxxp://110.42.4.180:2081/v?v=6&m=”.

De server antwoordt vervolgens met de URL voor het laatste monster met "OK" als het model up-to-date is en de malware het bestand dienovereenkomstig vervangt. 

Beveiligingsfout

Microsoft heeft aangegeven dat ze onderzoek doen naar een kwaadwillende partij die deze negatieve drivers (Netfilter) binnen gameomgevingen heeft verspreid. Deze partij heeft drivers ter certificering ingediend via het Windows Hardware Compatibility Program. Deze drivers zijn ontwikkeld door een derde partij, dus Microsoft heeft hun account geschorst en hun inzendingen gecontroleerd op aanvullende tekenen van malware. Het bedrijf (Microsoft) kon geen bewijs vinden dat het ondertekeningscertificaat van het Windows Hardware Compatibility Program of de WHCP-ondertekeningsinfrastructuur gecompromitteerd was. Daarom hebben ze sindsdien Netfilter-detecties toegevoegd aan de Windows Defender AV-engine die in Windows is ingebouwd en deze detectie aan andere AV-leveranciers verstrekt. 

Update over de malware [2]

• 26 juni, 12:26 uur ET: Verduidelijkt dat BleepingComputer de DoD-lijst niet expliciet heeft gezien met de vermelding van het vermeende Chinese bedrijf, in tegenstelling tot de details in het rapport van de onderzoeker. Ook contact opgenomen met Hahn voor opheldering.
• 27 juni, 04:58 uur ET: Een eerdere versie van het blogbericht vermeld een andere onderzoeker, @cowonaut, waarin wordt beweerd dat het bovengenoemde bedrijf eerder door het Amerikaanse Ministerie van Defensie (DoD) was aangemerkt als een "communistisch Chinees militair" bedrijf. Deze bewering is inmiddels ingetrokken uit de oorspronkelijke blogpost en we hebben ons artikel bijgewerkt om dit te benadrukken. BleepingComputer heeft Ningbo Zhuo Zhi Innovation Network Technology Co., Ltd. echter niet aangetroffen op een van de beschikbare DoD-lijsten.

Conclusie

Ondanks de beperkingen was deze beveiligingsfout ernstig. Het certificeringsprogramma van Microsoft was ontworpen om precies het soort aanval te blokkeren dat G Data als eerste ontdekte. Microsoft heeft nog niet bekendgemaakt hoe het de malware digitaal heeft ondertekend; vertegenwoordigers van het bedrijf weigerden ook uitleg te geven.

Referentie

• microsoft-signaleert-digitaal-kwaadaardige-rootkit-driver

• Microsoft geeft toe rootkit-malware te hebben ondertekend in het supply chain-debacle