在最近的一篇報(bào)道中，微軟已經(jīng)承認(rèn)他們簽名了一個(gè)惡意驅(qū)動(dòng)程序，現(xiàn)在它正在游戲環(huán)境中進(jìn)行管理。經(jīng)調(diào)查得知，該公司已簽名的驅(qū)動(dòng)程序?yàn)閻阂釽indows Rootkit，并持續(xù)針對(duì)游戲環(huán)境。

　　G DATA惡意軟件分析師Karsten Hahn首先發(fā)現(xiàn)了惡意rootkit，他確認(rèn)威脅行為者的目標(biāo)是用戶，特別是在東亞國(guó)家的一些用戶。

　　微軟公司已經(jīng)注意到這次攻擊，他們認(rèn)為攻擊者使用惡意驅(qū)動(dòng)程序來欺騙他們的地理位置，以便欺騙系統(tǒng)并從任何地方玩游戲。

　　無證書暴露跡象

　　該公司已內(nèi)置檢測(cè)，正在連同Zero Trust和分層防御安全態(tài)勢(shì)盡最大努力盡快阻止此驅(qū)動(dòng)程序。除此之外，該公司還試圖找出通過Microsoft Defender for Endpoint鏈接的文件。但是他們也表明還沒有任何證據(jù)顯示W(wǎng)HCP簽名證書被暴露，其基礎(chǔ)設(shè)施也沒有收到黑客的破壞。

　　這次攻擊中使用的所有方法都發(fā)生在漏洞利用之后，然而這種惡意軟件允許威脅行為者在游戲中獲得優(yōu)勢(shì)，并且他們可以通過一些常用工具（如鍵盤記錄器）的幫助來接管其他玩家的帳戶。

　　微軟簽署了一個(gè)Rootkit

　　經(jīng)過長(zhǎng)時(shí)間的調(diào)查，研究人員了解到該驅(qū)動(dòng)程序已被發(fā)現(xiàn)與某些國(guó)家的C&C IP正在進(jìn)行通信，并且所有這些IP都令人懷疑，因?yàn)樗鼈兏緵]有提供任何合法的功能。

　　不過有消息稱，從Windows Vista開始，任何在內(nèi)核模式下運(yùn)行的代碼都需要在公開發(fā)布之前進(jìn)行測(cè)試和簽名，以確保操作系統(tǒng)的穩(wěn)定性。默認(rèn)情況下無法安裝沒有Microsoft證書的驅(qū)動(dòng)程序。

　　但是，對(duì)Netfilter 的C&C基礎(chǔ)設(shè)施進(jìn)行的URL的分析清楚地表明，第一個(gè)URL返回一組備用路由（URL），由（“|”）分隔，所有這些都用于特定目的。

　　“hxxp://110.42.4.180:2081/p”–以此結(jié)尾的URL與代理設(shè)置相鏈接。

　　“hxxp://110.42.4.180:2081/s”–規(guī)定編碼的IP地址轉(zhuǎn)發(fā)。

　　“hxxp://110.42.4.180:2081/h？”–專用于獲取CPU-ID。

　　“hxxp://110.42.4.180:2081/c”–生成根證書。

　　“hxxp://110.42.4.180:2081/v？”–鏈接到自動(dòng)惡意軟件更新功能。

　　第三方賬戶被暫停

　　在得知惡意驅(qū)動(dòng)程序后，微軟表示將展開強(qiáng)有力的調(diào)查。調(diào)查結(jié)束后不久，該公司得知黑客已經(jīng)通過Windows硬件兼容性計(jì)劃（WHCP）放棄了驅(qū)動(dòng)程序的認(rèn)證。

　　但是，微軟已經(jīng)通過傳播該帳戶立即暫停了惡意驅(qū)動(dòng)程序，并檢查了黑客提交的惡意軟件的進(jìn)一步活動(dòng)跡象。

　　微軟承認(rèn)簽署了惡意驅(qū)動(dòng)程序

　　目前看來沒有證據(jù)證明被盜的代碼簽名證書已經(jīng)被使用，但是黑客已經(jīng)針對(duì)游戲行業(yè)開始了攻擊。同時(shí)可以明確的一點(diǎn)是這種錯(cuò)誤簽名的二進(jìn)制文件以后可能會(huì)被黑客濫用，并且很容易產(chǎn)生大規(guī)模的軟件供應(yīng)鏈攻擊。

　　除此之外，微軟正在盡最大努力阻止此類攻擊，并找出所有細(xì)節(jié)和關(guān)鍵因素，從而更好地了解威脅行為者的主要?jiǎng)訖C(jī)和整個(gè)行動(dòng)計(jì)劃。