ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
28.06.2021, 12:03
|
|
Guest
Сообщений: n/a
Провел на форуме:
507892
Репутация:
51
|
|
Компания Microsoft признала, что подписала вредоносный драйвер, который теперь распространяется в игровой среде. Драйвер под названием Netfilter на самом деле является руткитом, подключающимся к C&C-инфраструктуре с китайскими IP-адресами.
Специалист по вредоносному ПО компании G Data Карстен Хан (Karsten Hahn) обнаружил неладное на прошлой неделе, когда система оповещения о вредоносном ПО G Data обозначила Netfilter как вредоносную программу. Хан уведомил Microsoft о проблеме взялся за отслеживание и изучение драйвера.
Данный инцидент в очередной раз демонстрирует риски, связанные с недостаточным обеспечением безопасности цепочки поставок. На этот раз проблема связана с недочетами в используемом Microsoft процессе подписания кода.
Как пояснил исследователь, начиная с Windows Vista, в целях обеспечения стабильности работы системы, любой код, запущенный в режиме ядра, должен быть протестирован и подписан до публичного релиза. Драйверы без сертификата Microsoft по умолчанию устанавливаться не могут.
Как показывает анализ URL-адресов используемой Netfilter C&C-инфраструктуры, первый URL-адрес возвращает набор дополнительных маршрутов (URL), разделенных вертикальной чертой ("|"). Каждый из них играет свою роль:
- URL-адрес, заканчивающийся на "/p", связан с настройками прокси-сервера;
- "/s" обеспечивает закодированную переадресацию IP-адресов;
- "/h?" предназначен для получения CPU-ID;
- "/c" обеспечивает корневой сертификат;
- "/v?" связан с функцией автоматического обновления вредоносного ПО.
Исследователь G Data провел тщательный анализ драйвера и пришел к выводу, что он является вредоносным. Хан проанализировал драйвер, его функции самообновления и индикаторы компрометации (IOC) и изложил подробности в блоге.
Примечательно, что, согласно WHOIS, IP-адрес 110.42.4.180, к которому подключается Netfilter, принадлежит компании Ningbo Zhuo Zhi Innovation Network Technology.
В настоящее время Microsoft проводит тщательное расследование инцидента. Свидетельств того, что кто-то похитил ее сертификат для подписи кода, пока не обнаружено. Похоже, злоумышленник воспользовался процессом Microsoft по отправке драйверов и сумел легитимным образом получить подписанный Microsoft двоичный файл через программу Windows Hardware Compatibility Program.
Microsoft приостановила действие учетной записи злоумышленника и проверила все отправленные им материалы на предмет наличия в них признаков вредоносного ПО.
По данным компании, с помощью драйвера злоумышленник в основном нацеливался на игровой сектор, особенно в Китае, и пока нет никаких свидетельств того, что были затронуты корпоративные среды. Microsoft пока воздерживается от приписывания этого инцидента правительству какой-либо страны.
https://www.securitylab.ru/news/521677.php |
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Древовидный вид