Вредоносные драйверы Windows c подписью Microsoft используются в атаках программ-вымогателей

Microsoft отозвала несколько учетных записей разработчиков оборудования Microsoft после того, как драйверы, подписанные через их профили, использовались в кибератаках, включая инциденты с программами-вымогателями.

Вредоносные драйверы Windows c подписью Microsoft используются в атаках программ-вымогателей. Фото: СС0

Эта новость была опубликована совместно компаниями Microsoft, Mandiant, Sophos и SentinelOne. Исследователи объясняют, что хакеры угроз используют вредоносные аппаратные драйверы режима ядра, доверие к которым было подтверждено с помощью подписей Authenticode от Microsoft Windows Hardware Developer Program.

Из сообщения компании:

«Microsoft была проинформирована о том, что драйверы, сертифицированные Microsoft Windows Hardware Developer Program, злонамеренно использовались в действиях после эксплуатации. В этих атаках злоумышленник уже получил административные привилегии на скомпрометированных системах до использования драйверов. Мы были уведомлены об этой деятельности SentinelOne, Mandiant и Sophos 19 октября 2022 года и впоследствии провели расследование этой деятельности. Это расследование показало, что несколько учетных записей разработчиков для Microsoft Partner Center участвовали в отправке вредоносных драйверов для получения подписи Microsoft. Новая попытка отправки вредоносного драйвера на подпись 29 сентября 2022 года привела к блокировке аккаунтов продавцов в начале октября».

Когда аппаратные драйверы режима ядра загружаются в Windows, они получают наивысший уровень привилегий в операционной системе.

Эти привилегии могут позволить драйверу выполнять различные вредоносные задачи, которые обычно не разрешены приложениям пользовательского режима. Действия включают завершение работы программного обеспечения безопасности, удаление защищенных файлов и действия в качестве руткитов для сокрытия других процессов.

Начиная с Windows 10, Microsoft требует, чтобы аппаратные драйверы режима ядра были подписаны через программу Microsoft Windows Hardware Developer Program.

Поскольку разработчикам необходимо приобрести сертификат расширенной проверки (EV), пройти процесс идентификации и предоставить драйверы, проверенные Microsoft, многие платформы безопасности автоматически доверяют коду, подписанному Microsoft с помощью этой программы.

По этой причине возможность подписать Microsoft драйвер режима ядра для использования его в вредоносных кампаниях является ценным товаром. В компании не рассказали, как специалисты будут противодействовать зловредным подписанным драйверам.

Из сообщения компании:

«Microsoft Partner Center работает над долгосрочными решениями для устранения этих обманных практик и предотвращения будущих последствий для клиентов».

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутые сервисы

Microsoft 365 Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).

Облачная служба с набором офисных веб-инструментов. В ней доступны электронная почта, документы, контакты, календарь и Office Web Apps (Word, Excel и PowerPoint).