[ad_1]
人们发现中国黑客使用两种开源工具在受感染的端点上签名和加载恶意内核模式驱动程序。
据发现该活动的思科 Talos 网络安全研究人员称,这为攻击者提供了可能的最高权限级别。 他们在分析中表示:“这是一个重大威胁,因为对内核的访问提供了对系统的完全访问,因此完全受到损害。”
这两个开源工具称为 HookSignalTool 和 FuckCertVerifyTimeValidity。 这两个版本已经存在大约五年了,可以在 GitHub 上下载。 它们的主要功能是允许游戏作弊者修改游戏并获得不公平的优势。
但在这种情况下,中国黑客在之前被入侵的系统上使用它来调整 2015 年 7 月 29 日之前的恶意驱动程序的签名日期。通过更改日期,他们可以使用较旧的恶意驱动程序,将其加载到操作系统中,从而获得系统管理能力。
研究人员随后展示了一个现实世界的例子。 他们使用 HookSignTool 加载名为“RedDriver”的恶意驱动程序,该驱动程序帮助他们拦截世界上最流行的浏览器(Chrome、Edge 和 Firefox)的浏览器流量。 他们还设法拦截通过中国流行的浏览器的流量。
研究人员表示:“FuckCertVerifyTimeValidity 的工作方式与 HookSignTool 类似,它使用 Microsoft Detours 包附加到“CertVerifyTimeValidity”API 调用,并将时间戳设置为选定的日期。” “与 HookSignTool 不同,FuckCertVerifyTimeValidity 不会在其签名的二进制文件中留下痕迹,因此很难识别何时使用了该工具。”
分析:为什么它很重要?
并非所有漏洞都是相同的。 有些更难滥用,而另一些则可以在野外利用。 像这样的漏洞具有一种有效的利用方式,即使是低技能的黑客也可以轻松发现和使用,这是极其危险的。 知道这个漏洞是被中国黑客发现的,就更加危险了。 这些威胁行为者,特别是在国家支持的情况下,总是在寻找新的途径,他们的目标通常是网络间谍活动、数据和 身份盗窃,以及关键基础设施系统的中断。 通过识别和阻止这些途径,网络安全专家正在极大地改善其国家主要组织的整体网络安全状况。
在这种特殊情况下,网络骗子正在使用一种称为“自带易受攻击的驱动程序”(BYOVD) 的技术。 这是一种流行的技术,其前提很简单:将具有已知漏洞的旧驱动程序安装到系统中,然后利用该漏洞获取访问权限、提升权限,并最终安装恶意软件。
为了防御这种威胁,思科 Talos 的研究人员建议阻止所有提到的证书 这里,因为 IT 团队将很难自行检测恶意驱动程序。 此外,根据文件哈希值或用于签名的证书,可以最有效地阻止这些内容。 研究人员还表示,微软屏蔽了所有上述证书,用户可以参考微软的公告以获取更多信息。
他们表示:“微软在 Windows 中实施并维护了驱动程序阻止列表,尽管它专注于易受攻击的驱动程序而不是恶意驱动程序。” “因此,不应仅依赖此阻止列表来阻止 Rootkit 或恶意驱动程序。”
其他人对袭击有何评论?
在其撰写的文章中, 技术艺术 暂时批评微软,称其继续将利用后漏洞利用场景中使用的恶意驱动程序问题视为打地鼠游戏。 它说:“这种方法是阻止已知被恶意使用的驱动程序,但不采取任何措施来弥补漏洞。” “这使得攻击者可以简单地使用一批新的驱动程序来完成同样的事情。 正如过去和现在所证明的那样,微软经常无法检测多年来被恶意使用的驱动程序。”
然而,同一篇文章强调,很难找到有效的解决方案,因为许多付费客户仍在合法地使用许多易受攻击的驱动程序。 “撤销此类驱动程序可能会导致全球关键软件突然停止工作。”
该出版物称,一线希望是,为了使该缺陷发挥作用,系统需要提前被利用,因此最好的防御措施就是从一开始就不要受到损害。
电脑发出蜂鸣声另一方面,联系了 Microsoft,并被告知该缺陷不会获得 CVE,因为该公司并不认为这是一个漏洞。 该出版物指出:“虽然思科和 Sophos 发现的证书现已被撤销,但风险远未消除,因为更多证书可能仍然暴露或被盗,从而使威胁行为者能够继续滥用这一 Windows 策略漏洞。” 这提醒Sophos发现了一百多个恶意内核驱动程序被用作“EDR Killers”来关闭安全软件。
更深入
如果您想了解更多信息,请先阅读 微软最新动作 首先防止此类攻击的发生。 之后,请务必查看我们的列表 最好的防病毒程序 周围,以及 最好的恶意软件清除 程式。 最后,您应该阅读我们关于 当今最好的防火墙。
[ad_2]
Source link
