Sophos今日揭露在经由合法数位凭证签章的多个驱动程式中发现恶意程式码。最新报告《已签章的恶意驱动程式在软体信任链中向上移动》详细介绍了这个调查结果。在本次勒索软体攻击中,攻击者使用了一个取得Microsoft合法Windows Hardware Compatibility Publisher数位凭证签章的恶意驱动程式。
该恶意驱动程式专门锁定主要端点侦测和回应(EDR)软体套件使用的处理程序,并由和Cuba勒索软体附属组织有关的恶意软体进行安装。该集团动作频频,过去一年成功攻击了全球一百多家公司。Sophos Rapid Response成功阻止了这次攻击,调查成果还促成了Sophos和Microsoft之间的全面合作,以采取行动并解决威胁。
这些驱动程式可以在系统上执行高权限的作业。例如,核心模式驱动程式可以终止许多类型的软体,包括安全软体。控制哪些驱动程式可以载入是保护电脑防范此类攻击的一种方法。Windows要求驱动程式在允许载入之前需先取得加密签章一个「核准签章」。
但是,并非所有用来签署驱动程式的数位凭证都受到同等的信任。一些被窃并外泄到网际网路上的数位签章凭证後来都被滥用於签章恶意软体;甚至还有其他凭证已经被不法的PUA软体发行商购买和使用。
在勒索软体攻击期间,Sophos对破坏端点安全工具的恶意驱动程式的调查显示,恶意份子一直群策群力,逐步从不太常见的信任数位凭证转移到更广泛受到信任的数位凭证。
Sophos威胁研究资深经理Christopher Budd表示:「这些攻击者很可能就是Cuba勒索软体组织的分支,他们知道自己在做什麽,而且很顽固。我们总共发现了10个恶意驱动程式,都是最初版本的变种。这些驱动程式显示骇客群策群力想要提高在信任链的地位,最旧的驱动程式至少可以追溯到今年7月。我们发现的最旧凭证是由不知名的中国公司签发的;然後骇客继续推进,使用一个外流但已经被撤销的NVIDIA凭证来签署驱动程式。现在,他们使用的是Microsoft的凭证。Microsoft是Windows生态系统中最受信任的权威机构之一。用公司安全来比喻,攻击者基本上已经取得有效的公司ID,可以毫无疑问地进入大楼并为所欲为。」
仔细检视勒索软体在攻击中使用的可执行档,可以发现恶意签章的驱动程式是经由载入程式BURNTCIGAR的变种下载到目标系统。BURNTCIGAR是一种已知与Cuba勒索软体组织有关的恶意软体。
一旦载入程式将驱动程式下载到系统上,主要的端点安全和EDR软体套件常用的186个不同程式档名都会触发它,然後尝试终止这些处理程序。如果顺利终止,攻击者接着就会部署勒索软体。
Budd补充表示:「到2022年,我们看到越来越多勒索软体攻击者试图绕过许多,甚至是大多数主要厂商的EDR产品。最常见的技术称为『自带驱动程式』,就是BlackByte最近使用的技术,攻击者会利用合法驱动程式中的现有漏洞。从头开始设计一个恶意驱动程式,并让其取得合法机构签章要困难得多。不过一旦成功,那将无往不利,因为驱动程式基本上可以毫无疑问地执行任何处理程序。以这个特定的驱动程式为例,几??所有EDR软体都躲不过攻击;幸运的是,Sophos的额外防窜改保护将它挡了下来。安全社群需要警觉到这种威胁,在必要时采取额外的安全措施,例如持续监控;更重要的是,我们可能会看到其他攻击者试图模仿这种类型的攻击。」