Napadači zloupotrebljavaju Windows polise
Kompanija Microsoft je blokirala certifikate koje su koristili napadači za potpisivanje i učitavanje upravljačkog softvera jezgra (eng. kernel) na korisničkim uređajima zloupotrebljavajući Windows polise.
Upravljački softveri koji funkcionišu na nivou jezgra sistema imaju najveću privilegiju u Windows operativnom sistemu, što napadaču omogućava da ih iskoristi za neprimjetno postizanje uporišta i izvlačenje podataka ili korištenja mogućnosti da zaustave skoro svaki proces u sistemu.
Čak i u slučaju, kada je instalirano neko sigurnosno rješenje na uređaju, upravljački softveri koji funkcionišu na nivou jezgra sistema, može da utiče na njegovo sposobnosti gašenjem određenih funkcionalnosti sigurnosnog riješena ili izmjenom podešavanja kako bi onemogućila detekcija zlonamjernog softvera.
Kompanija Microsoft je sa objavom Windows Vista operativnog sistema uvela ograničenja kroz polise kako se upravljački softveri koji funkcionišu na nivou jezgra sistema mogu učitati u operativni sistem, što je u suštini značilo da razvojni programeri moraju poslati svoje upravljače softvere na pregled i digitalni potpis kompaniji Microsoft. Međutim, kako bi se izbjegli problemi sa starijim aplikacijama, kompanija Microsoft je ipak dopustila neke izuzetke kako bi se stariji upravljački softveri koji funkcionišu na nivou jezgra sistema mogli učitati.
Hakerski alati
Sigurnosni istraživači kompanije Cisco su otkrili zlonamjerne aktere kineskog porijekla kako zloupotrebljavaju jedan od izuzetaka koji je napravila kompanija Microsoft, a odnosi se na unakrsno potpisane certifikate sa vremenskom oznakom potpisa prije 29. jula 2015. godine. Mijenjanjem datuma potpisa, zlonamjerni akteri mogu da iskoriste starije, procurjele, neopozvane certifikate da potpišu svoje upravljačke softvere kako bi ih zloupotrebili za postizanje privilegija u operativnom sistemu.
Tokom svoga istraživanja, sigurnosni istraživači su identifikovali da zlonamjerni akteri koriste dvije alatke: HookSignTool i FuckCertVerifiTimeValiditi, za falsifikovanje vremenskih oznaka potpisa koji su javno dostupni od 2019. odnosno 2018. godine, kako bi mogli primijenili zlonamjerne upravljačke softvere bez da ih šalju kompaniji Microsoft na verifikaciju.
HookSignTool je alatka objavljena 2019. godine na kineskom forumu za razbijanje softvera, koristeći Windows API zajedno sa legitimnim alatom za potpisivanje kôda kako bi se potpisao zlonamjerni upravljački softver. Ovaj alat koristi Microsoft Detours biblioteku za presretanje i nadgledanje Win32 API poziva i ima prilagođenu mogućnost funkcije “CertVerifyTimeValidity” pod nazivom “NewCertVerifyTimeValidity” koja vrši provjeru nevažećeg vremena.
HookSignTool alatki je potreban “JemmyLoveJenny EV Root CA certificate” kako bi se izvršilo potpisivanje upravljačkog softvera sa vremenskom oznakom u prošlosti, koji je dostupan na Internet lokaciji zlonamjernog aktera. Dobra stvar je u tome, što korištenje ovog certifikata ostavlja tragove u falsifikovanom potpisu, što omogućava identifikaciju korištenja HookSignTool alatke.
FuckCertVerifiTimeValiditi je druga alatka koju zlonamjerni akteri koriste za izmjenu vremenskih oznaka na zlonamjernom upravljačkom softveru koji funkcionišu na nivou jezgra sistema. Ovaj alat je prvobitno bio dostupan na GitHub platformi 2018. godine i koristio se kao alat za varanje u video igrama. Alatka funkcioniše na sličan način kao i HookSignTool korištenjem Microsoft Detours biblioteke za povezivanje na “CertVerifyTimeValidity” API poziv i postavlja vremensku oznaku sa izabranim datumom. Razlika između ove dvije alatke je u tome što FuckCertVerifiTimeValiditi ne ostavlja tragove, pa je identifikacija otežana kada se ova alatka koristi.
Treba napomenuti, da oba alata zahtijevaju neopoziv certifikat za digitalno potpisivanje izdat prije 29. jula 2015. godine, zajedno sa odgovarajućim privatnim ključem i lozinkom. Sigurnosni istraživači su uspjeli pronaći desetine certifikata na GitHub platformi i forumima na kineskom jeziku koji se mogu iskoristiti uz pomoć ovih alata.
RedDriver
Sigurnosni istraživači su otkrili da HookSignTool koristi prethodno neotkriveni upravljački softver nazvan RedDriver kako bi krivotvorio vremensku oznaku digitalnog potpisa. Aktivan najmanje od 2021. godine, koristi se za preuzimanje Internet pregledača, zasnovan na upravljačkom softveru koji koristi Windows platformu za filtriranje (eng. Windows Filtering Platform – WFP) da presretne saobraćaj pregledača i preusmjeri ga na lokalni host (127.0.0.1).
Ciljni pretraživač se bira nasumično sa tvrdo kodirane liste koja sadrži nazive procesa mnogih popularnih pretraživača na kineskom jeziku kao što su Liebao, QQ Browser, Sogou, UC Browser, Google Chrome, Microsoft Edge i Mozilla Firefox. Cilj preusmjeravanja saobraćaja Internet pregledača nije u potpunosti jasan, ali sumnja se da bi takva mogućnost mogla omogućiti zloupotrebu promjene saobraćaj Internet pregledača na nivou paketa.
RedDriver infekcija počinje izvršavanjem binarne datoteke DnfClientShell32.exe, koja pokreće šifrovanu komunikaciju sa komandno-kontrolnim serverom (C2) kao bi se preuzeo zlonamjerni upravljački softver.
Opoziv certifikata
Nakon ovog otkrića, kompanija Microsoft je opozivala povezane certifikate i suspendovala naloge programera koji zloupotrebljavaju ovaj propust kroz objavljena ažuriranja. Pored toga, kompanija Microsoft je implementirala otkrivanje i blokiranje u Microsoft Defender 1.391.3822.0 i novije verzije kako bi zaštitila korisnike od legitimno potpisanih drajvera koji su zlonamjerno korišćeni u aktivnostima nakon eksploatacije.
Zaštita
Poređenje vremenske oznake digitalnog potpisa sa datumom kompilacije upravljačkog softvera ponekad može biti efikasan način za otkrivanje slučajeva falsifikovanja vremenske oznake. Međutim, važno je napomenuti da se i datumi kompilacije mogu promijeniti tako da odgovaraju vremenskim oznakama potpisa.
Korisnicima se preporučuje blokiranje identifikovanih certifikata, jer je identifikacija upravljačkog softvera teška za otkrivanje heurističkom metodom i najefikasniji način zaštite je blokiranje putem heš sume datoteke ili certifikata koji se koriste za njihovo potpisivanje.
Zaključak
HookSignTool i FuckCertVerifiTimeValiditi alatke predstavljaju ozbiljnu prijetnju, jer instalacija zlonamjernog upravljačkog softvera može da omogući napadaču pristup sistemu na nivou jezgra operativnog sistema. Ovi alati se takođe mogu koristiti za ponovno potpisivanje krekovanog upravljačkog softvera kako bi se zaobišlo DRM (eng. digital rights management), što može dovesti do finansijskih gubitka zbog softverske piraterije. Osim ovih rizika, pokretanje neprovjerenih drajvera čak i ako nije prisutna zlonamjerna namjera, može da ošteti sistem ako upravljački program nije ispravno napisan.
