Araştırmacılar, bilgisayar korsanlarının kötü amaçlı ve doğrulanmamış sürücüleri süresi dolmuş sertifikalarla yüklemek için çekirdek modu sürücüleri için bir Windows politika boşluğundan yararlanmak için açık kaynak araçları kullandığını buldu. Öncelikle Çince konuşan Windows kullanıcılarını hedefleyen etkinlik, potansiyel olarak tehdit aktörlerine kurbanların sistemlerine tam erişim sağlıyor.
Cisco Talos araştırmacıları, 29 Temmuz 2015’ten önce çapraz imzalı çekirdek modu sürücülerinin imza zaman damgasıyla imzalanmasına ve yüklenmesine izin veren Microsoft’un Windows sürücü imzalama politikasındaki bir istisnadan yararlanan kötü amaçlı etkinliği keşfettiler. 11 Temmuz sonrası.
Cisco Talos’un sosyal yardım araştırmacısı Chris Neal, gönderisinde “Aktörler, süresi dolmuş sertifikalarla imzalanmış kötü niyetli ve doğrulanmamış sürücüleri yüklemek için çekirdek modu sürücülerinin imza tarihini değiştiren birden fazla açık kaynak aracından yararlanıyor.”
Şimdiye kadar araştırmacılar, bu açık kaynak araçlarla birlikte kullanılan GitHub’da barındırılan bir PFX dosyasında yer alan anahtarlar ve parolalar içeren bir düzineden fazla kod imzalama sertifikası gözlemlediler. Bu araçlar arasında, sırasıyla 2019 ve 2018’den beri halka açık olan HookSignTool ve FuckCertVerifyTimeValidity imza zaman damgası dövme araçları bulunmaktadır.
Ayrı bir gönderide Cisco Talos, RedDriver adlı kötü niyetli sürücülerden birinin, Windows sürücü imzalama politikalarını atlamak için imza zaman damgasını taklit etmek için HookSignTool’u nasıl kullandığını özetledi. Araştırmacılar, tehdit aktörlerinin RedDriver’ın bulaşma zincirinin geliştirilmesinde HP-Socket ve özel bir ReflectiveLoader uygulaması da dahil olmak üzere çok sayıda açık kaynak araçtan kod kullandığını tespit etti. Ayrıca, RedDriver’ın yazarlarının sürücü geliştirmede yetenekli olduğu ve Windows işletim sistemi hakkında derin bilgiye sahip olduğu görülmektedir.
RedDriver – araştırmacıların keşfettiği çoğu kötü amaçlı sürücü gibi – meta verilerinde Basitleştirilmiş bir Çince dil kodu içeriyordu ve bu, aktörlerin anadili Çince olan kişileri hedef aldığını gösteriyor. Cisco Talos ayrıca, dijital haklar yönetimini (DRM) atlamak için crackli sürücülerde aynı görevi gerçekleştirerek imzalama tarihlerini değiştirmek için kullanılan açık kaynak araçlarından birinin bir örneğini belirledi.
Windows İşletim Sistemi Devralmasını Tamamlayın
Çekirdek modu sürücüleri, sistemi çalıştırmak için temel ve gerekli işlevleri sağlayan Windows işletim sisteminin çekirdek katmanının bir parçasıdır. Sürücüler, bu katman ile kullanıcıların etkileşime girdiği dosyaların ve uygulamaların bulunduğu kullanıcı modu arasındaki iletişimi kolaylaştırır.
Neal, “İşletim sistemini iki moda ayırmak, ortalama kullanıcı ile Windows çekirdeği arasında oldukça kontrollü bir mantıksal engel oluşturur” diye yazdı. “Çekirdeğe erişim bir sisteme tam erişim sağladığından, bu bariyer işletim sisteminin bütünlüğünü ve güvenliğini korumak için kritik öneme sahiptir.”
Saldırganlar, kötü amaçlı bir çekirdek modu sürücüsü yükleyerek bu güvenli bariyeri aşabilir ve sistem ve kullanıcı modu işlemlerini manipüle ederek tüm sistemi tehlikeye atabilir, dedi. Aynı zamanda uç nokta tespitinden kaçınırlar ve virüs bulaşmış bir sistemde kalıcılığı koruyabilirler.
Neal, “Bu avantajlar, saldırganların Windows sürücü imza ilkelerini atlamanın yollarını keşfetmeleri için önemli bir teşvik sağlıyor” diye yazdı.
Cisco Talos, Microsoft’u araştırmacıların keşfettiği konusunda bilgilendirdi ve buna yanıt olarak şirket, kötü amaçlı sürücülerle ilişkili olduğu belirlenen tüm sertifikaları engelledi. Şirket ayrıca müşterilerini, güvenliği ihlal edilmiş sistemlerde yönetici ayrıcalıkları kazanmak için sürücülerin kullanıldığının farkında olmaları konusunda bilgilendiren bir tavsiye yayınladı.
Bir soruşturmanın ardından şirket, “etkinliğin birkaç geliştirici programı hesabının kötüye kullanılmasıyla sınırlı olduğunu” ve hiçbir Microsoft hesabının ele geçirilmediğini belirledi. Şirket, “Müşterileri bu tehditten korumaya yardımcı olmak için ortakların satıcı hesaplarını askıya aldık ve bildirilen tüm kötü niyetli sürücüler için engelleme tespitleri uyguladık” dedi.
Windows Sürücü Politikası Boşluğu Oluşturma
Microsoft, kötü amaçlı sürücü tehdidiyle mücadele etmek için Windows Vista 64-bit’ten başlayarak, çekirdek modu sürücülerin doğrulanmış bir sertifika yetkilisinden alınan bir sertifikayla dijital olarak imzalanmasını zorunlu kılmaya başladı. Ancak Windows 10, sürüm 1607’den başlayarak Microsoft, Geliştirici Portalı’na gönderilmemiş ve bu Portal tarafından imzalanmamış yeni çekirdek modu sürücülerin kullanımını yasaklamak için sürücü imzalama politikasını güncelledi.
Aynı zamanda şirket, eski sürücülerin hala işlevsellik ve uyumluluğu koruduğundan emin olmak zorundaydı, bu nedenle birkaç istisna oluşturdu; bunlardan biri, istismarın temelindeki sorunu yarattı. 29 Temmuz 2015’ten önce düzenlenmiş bir son varlık sertifikasıyla imzalanmış sürücülerin, çapraz imzalı bir sertifika yetkilisine destek zincirlerinin hala geçerli olduğunu belirtir.
Bu, yeni derlenmiş bir sürücünün, desteklenen bir çapraz imzalı sertifika yetkilisine zincirlendiği sürece, bu tarihten önce verilmiş veya süresi dolmuş iptal edilmemiş sertifikalarla imzalanmasına izin veren etkili bir boşluk yarattı. Bu şekilde imzalanan bir sürücü, OS çekirdek katmanında bir hizmet olarak kurulabilir ve başlatılabilir; bu, bu boşluktan yararlanmak için birden çok açık kaynak aracının kullanılabilirliğiyle daha da kolaylaştırılan bir etkinliktir, dedi Neal.
Windows Çekirdeği Siber Tehditini Azaltma
Cisco Talos, gönderisinde kötü amaçlı sürücülerle ilişkili süresi dolmuş sertifikaların bir listesini içerir ve kötü amaçlı sürücülerin en etkili şekilde dosya karmalarına veya bunları imzalamak için kullanılan sertifikalara göre engellendiğini belirterek, Windows kullanıcılarının bunları da engellemesini önerir. Daha önce de belirtildiği gibi Microsoft, Cisco Talos’un kendilerine bildirdiği sertifikaları engellemek için de harekete geçti.
İmza zaman damgasını bir sürücünün derleme tarihiyle karşılaştırmak da bazen zaman damgası sahteciliği olaylarını saptamanın etkili bir yolu olabilir. Bununla birlikte, Cisco Talos’a göre derleme tarihleri imza zaman damgalarıyla eşleşecek şekilde değiştirilebildiğinden, bu savunma yöntemi her zaman kapsamlı değildir.
Neal, “Cisco Talos, bu blogda tartışılan sertifikalar için kapsam oluşturdu ve gelecekteki korumaları bilgilendirmek için bu tehdit etkinliğini izlemeye devam edecek” diye yazdı. “Ayrıca, bu tehdide ilişkin gelecekteki bulguları Microsoft’a bildireceğiz.”