Microsofts signerade rootkit-skadlig programvara som kan dekryptera all krypterad kommunikation

Microsoft hade gett sitt digitala godkännande till ett rootkit som har dekrypterat alla krypterad kommunikation och skickade dem till de angriparkontrollerade servrarna. Denna skadliga drivrutin har spridits inom spelmiljöer. Drivrutinen är känd som "Netfilter", vars primära syfte eller kritiska roll är att fungera som ett rootkit som kommunicerar med de kinesiska kommando- och kontroll-IP:erna (C2). 

Discovery

Karsten Hahn, som är forskare på säkerhetsföretaget G Data, upptäckte den här drivrutinen med hjälp av sitt företags system för att upptäcka skadlig kod. Den första observationen förklarades vara falsklarm eftersom Microsoft hade signerat Netfilter digitalt under företagets Windows Hardware Compatibility Program. Efter ytterligare tester och forskning drog Karsten slutsatsen att detta inte var en falsk varning eller positivt. Han och hans forskarkollegor upptäckte att "kärnfunktionen verkar vara att avlyssna SSL-anslutningar. Förutom IP-omdirigeringskomponenten installerar och skyddar den också en root certifikat i registret” [1] (av reverse engineer Johann Aydinbas på Twitter)

Vad är ett rootkit?

Ett rootkit är en typ av skadlig kod som är skriven för att förhindra eller stoppa sig själv från att visas i filkataloger, andra standardfunktioner i operativsystemet och aktivitetsövervakare. Ett rotcertifikat används vanligtvis för att autentisera trafik som skickas via anslutningar som skyddas av Transport Layer Security-protokollet. Detta hjälper till att kryptera data under överföring och säkerställer att servern avgör om en ansluten användare är äkta eller en bedragare.

Vanligtvis dessa TLS-certifikat utfärdas av en Windows-betrodd certifikatutfärdare (eller CA), och genom att installera dessa rotcertifikat i Windows kan hackare kringgå CA-kravet.

Ursprungshistoria

Drivrutinen Netfiler sågs kommunicera med Kina-baserade C&C-IP-adresser utan att tillhandahålla någon legitim funktionalitet, vilket ytterligare ledde till misstankar. Ungefär vid den här tiden delade G Datas skadlighetsanalytiker Karsten Hahn signaturinformationen offentligt på Twitter och kontaktade Microsoft.

Enligt Hahn måste all kod som körs i kernelläge testas och signeras innan den släpps offentligt för att säkerställa stabilitet för operativsystemet. Vid denna tidpunkt började BleepingComputer också observera beteendet hos C2-URL:er och kontaktade Microsoft för en giltig anledning eller förklaring.

 De första C2-URL:erna returnerar en uppsättning fler rutter separerade med pipe-symbolen ("|"):

Var och en av dessa tjänar ett syfte:

• URL:en som slutar på "/p" betyder att den är kopplad till proxyinställningar
• ”/s” betecknar kodade omdirigerings-IP-adresser.
• "/h?" står för CPU-ID.
• "/c" gav ett rotcertifikat
• ”/v?” betecknar den skadliga programvarans självuppdateringsfunktion.

Enligt BleepingComputer tillhandahöll sökvägen "/v?" URL:en till den skadliga Netfilter-drivrutinen i fråga (vid "/d3"):

G Data-forskaren Hahn lade ner en hel del tid på att analysera drivrutinen noggrant, och resultatet drog slutsatsen att den här drivrutinen har självuppdateringsfunktion. Enligt honom har exemplet en självuppdateringsrutin som skickar sin MD5-hash till servern via "hxxp://110.42.4.180:2081/v?v=6&m=”.

Servern svarar sedan med URL:en för det senaste exemplet med "OK" om modellen är uppdaterad och skadlig programvara ersätter sin fil i enlighet därmed. 

Säkerhetsfel

Microsoft sa att de utreder en skadlig aktör som distribuerade dessa negativa drivrutiner (Netfilter) i spelmiljöer. Denna aktör skickade in drivrutiner för certifiering via Windows Hardware Compatibility Program. Dessa drivrutiner byggdes av en tredje part, så Microsoft har stängt av deras konto och granskat deras inskickade drivrutiner för ytterligare tecken på skadlig kod. Företaget (Microsoft) kunde inte hitta bevis för att vare sig signeringscertifikatet för Windows Hardware Compatibility Program eller dess WHCP-signeringsinfrastruktur var komprometterade. Så de har sedan dess lagt till Netfilter-detekteringar i Windows Defender AV-motorn som är inbyggd i Windows och tillhandahållit denna detektering till andra AV-leverantörer. 

Uppdatering angående skadlig programvara [2]

• 26 juni, 12:26 ET: Förtydligade att BleepingComputer inte såg att försvarsdepartementets lista uttryckligen nämnde det påstådda kinesiska företaget, i motsats till detaljerna i forskarens rapport. Kontaktade även Hahn för ett förtydligande.
• 27 juni, 04:58 ET: En tidigare version av blogginlägget nämnts en annan forskare, @cowonaut, som påstår att det ovan nämnda företaget tidigare hade stämplats av det amerikanska försvarsdepartementet (DoD) som ett "kommunistiskt kinesiskt militärt"-företag. Påståendet har sedan dess dragits tillbaka från det ursprungliga blogginlägget, och vi har uppdaterat vår artikel för att återspegla detsamma. BleepingComputer såg dock inte att Ningbo Zhuo Zhi Innovation Network Technology Co., Ltd. fanns med på någon av de tillgängliga försvarsdepartementets listor.

Slutsats

Trots begränsningarna var denna säkerhetsbrist allvarlig. Microsofts certifieringsprogram utformades för att blockera just den typ av attack som G Data först upptäckte. Microsoft har ännu inte sagt hur de kom sig att signera skadlig programvara digitalt; företagets representanter avböjde också att förklara.

Hänvisning

• microsoft-digitally-signs-malicious-rootkit-drivrutin

• microsoft-medger-att-signa-rootkit-skadlig-programvara-i-leveranskedjan-fiasko