{"id":5068,"date":"2023-07-16T01:52:46","date_gmt":"2023-07-15T23:52:46","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5068"},"modified":"2023-07-16T01:52:46","modified_gmt":"2023-07-15T23:52:46","slug":"napadaci-zloupotrebljavaju-windows-polise","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/07\/16\/napadaci-zloupotrebljavaju-windows-polise\/","title":{"rendered":"Napada\u010di zloupotrebljavaju Windows polise"},"content":{"rendered":"

Kompanija Microsoft<\/em> je blokirala certifikate koje su koristili napada\u010di za potpisivanje i u\u010ditavanje upravlja\u010dkog softvera jezgra (eng. kernel<\/em>) na korisni\u010dkim ure\u0111ajima zloupotrebljavaju\u0107i Windows<\/em> polise.<\/span><\/p>\n

\"black

Photo by Tadas Sar<\/a> on <\/em>Unsplash<\/em><\/a><\/p><\/div>\n

Upravlja\u010dki softveri koji funkcioni\u0161u na nivou jezgra sistema imaju najve\u0107u privilegiju u Windows<\/em> operativnom sistemu, \u0161to napada\u010du<\/a> omogu\u0107ava da ih iskoristi za neprimjetno postizanje upori\u0161ta i izvla\u010denje podataka ili kori\u0161tenja mogu\u0107nosti da zaustave skoro svaki proces u sistemu.<\/span><\/p>\n

\u010cak i u slu\u010daju, kada je instalirano neko sigurnosno rje\u0161enje na ure\u0111aju, upravlja\u010dki softveri koji funkcioni\u0161u na nivou jezgra sistema, mo\u017ee da uti\u010de na njegovo sposobnosti ga\u0161enjem odre\u0111enih funkcionalnosti sigurnosnog rije\u0161ena ili izmjenom pode\u0161avanja kako bi onemogu\u0107ila detekcija zlonamjernog softvera.<\/span><\/p>\n

Kompanija Microsoft<\/em> je sa objavom Windows<\/em> Vista<\/em> operativnog sistema uvela ograni\u010denja kroz polise kako se upravlja\u010dki softveri koji funkcioni\u0161u na nivou jezgra sistema mogu u\u010ditati u operativni sistem, \u0161to je u su\u0161tini zna\u010dilo da razvojni programeri moraju poslati svoje upravlja\u010de softvere na pregled i digitalni potpis kompaniji Microsoft<\/em>. Me\u0111utim, kako bi se izbjegli problemi sa starijim aplikacijama, kompanija Microsoft<\/em> je ipak dopustila neke izuzetke kako bi se stariji upravlja\u010dki softveri koji funkcioni\u0161u na nivou jezgra sistema mogli u\u010ditati.<\/span><\/p>\n

 <\/p>\n

Hakerski alati<\/strong><\/span><\/h2>\n

Sigurnosni istra\u017eiva\u010di kompanije Cisco<\/em> su otkrili zlonamjerne aktere kineskog porijekla kako zloupotrebljavaju jedan od izuzetaka koji je napravila kompanija Microsoft<\/em>, a odnosi se na unakrsno potpisane certifikate sa vremenskom oznakom potpisa prije 29. jula 2015. godine. Mijenjanjem datuma potpisa, zlonamjerni akteri mogu da iskoriste starije, procurjele, neopozvane certifikate da potpi\u0161u svoje upravlja\u010dke softvere kako bi ih zloupotrebili za postizanje privilegija u operativnom sistemu.<\/span><\/p>\n

Tokom svoga istra\u017eivanja, sigurnosni istra\u017eiva\u010di su identifikovali da zlonamjerni akteri koriste dvije alatke: HookSignTool<\/em> i FuckCertVerifiTimeValiditi<\/em>, za falsifikovanje vremenskih oznaka potpisa koji su javno dostupni od 2019. odnosno 2018. godine, kako bi mogli primijenili zlonamjerne upravlja\u010dke softvere bez da ih \u0161alju kompaniji Microsoft<\/em> na verifikaciju.<\/span><\/p>\n

HookSignTool <\/em>je alatka objavljena 2019. godine na kineskom forumu za razbijanje softvera, koriste\u0107i Windows<\/em> API<\/em> zajedno sa legitimnim alatom za potpisivanje k\u00f4da kako bi se potpisao zlonamjerni upravlja\u010dki softver. Ovaj alat koristi Microsoft<\/em> Detours<\/em> biblioteku za presretanje i nadgledanje Win32<\/em> API<\/em> poziva i ima prilago\u0111enu mogu\u0107nost funkcije \u201cCertVerifyTimeValidity<\/em>\u201d pod nazivom \u201cNewCertVerifyTimeValidity<\/em>\u201d koja vr\u0161i provjeru neva\u017ee\u0107eg vremena.<\/span><\/p>\n

HookSignTool<\/em> alatki je potreban \u201cJemmyLoveJenny<\/em> EV<\/em> Root<\/em> CA<\/em> certificate<\/em>\u201d kako bi se izvr\u0161ilo potpisivanje upravlja\u010dkog softvera sa vremenskom oznakom u pro\u0161losti, koji je dostupan na Internet lokaciji zlonamjernog aktera. Dobra stvar je u tome, \u0161to kori\u0161tenje ovog certifikata ostavlja tragove u falsifikovanom potpisu, \u0161to omogu\u0107ava identifikaciju kori\u0161tenja HookSignTool<\/em> alatke.<\/span><\/p>\n

FuckCertVerifiTimeValiditi <\/em>je druga alatka koju zlonamjerni akteri koriste za izmjenu vremenskih oznaka na zlonamjernom upravlja\u010dkom softveru koji funkcioni\u0161u na nivou jezgra sistema. Ovaj alat je prvobitno bio dostupan na GitHub<\/em> platformi 2018. godine i koristio se kao alat za varanje u video igrama. Alatka funkcioni\u0161e na sli\u010dan na\u010din kao i HookSignTool<\/em> kori\u0161tenjem Microsoft<\/em> Detours<\/em> biblioteke za povezivanje na \u201cCertVerifyTimeValidity<\/em>\u201d API<\/em> poziv i postavlja vremensku oznaku sa izabranim datumom. Razlika izme\u0111u ove dvije alatke je u tome \u0161to FuckCertVerifiTimeValiditi <\/em>ne ostavlja tragove, pa je identifikacija ote\u017eana kada se ova alatka koristi.<\/span><\/p>\n

Treba napomenuti, da oba alata zahtijevaju neopoziv certifikat za digitalno potpisivanje izdat prije 29. jula 2015. godine, zajedno sa odgovaraju\u0107im privatnim klju\u010dem i lozinkom. Sigurnosni istra\u017eiva\u010di su uspjeli prona\u0107i desetine certifikata na GitHub<\/em> platformi i forumima na kineskom jeziku koji se mogu iskoristiti uz pomo\u0107 ovih alata.<\/span><\/p>\n

 <\/p>\n

RedDriver<\/strong><\/span><\/h3>\n

Sigurnosni istra\u017eiva\u010di su otkrili da HookSignTool<\/em> koristi prethodno neotkriveni upravlja\u010dki softver nazvan RedDriver<\/em> kako bi krivotvorio\u00a0 vremensku oznaku digitalnog potpisa. Aktivan najmanje od 2021. godine, koristi se za preuzimanje Internet pregleda\u010da, zasnovan na upravlja\u010dkom softveru koji koristi Windows<\/em> platformu za filtriranje (eng. Windows Filtering Platform \u2013 WFP<\/em>) da presretne saobra\u0107aj pregleda\u010da i preusmjeri ga na lokalni host (127.0.0.1<\/em>).<\/span><\/p>\n

Ciljni pretra\u017eiva\u010d se bira nasumi\u010dno sa tvrdo kodirane liste koja sadr\u017ei nazive procesa mnogih popularnih pretra\u017eiva\u010da na kineskom jeziku kao \u0161to su Liebao, QQ Browser, Sogou, UC Browser, Google Chrome, Microsoft Edge<\/em> i Mozilla<\/em> Firefox<\/em>. Cilj preusmjeravanja saobra\u0107aja Internet pregleda\u010da nije u potpunosti jasan, ali sumnja se da bi takva mogu\u0107nost mogla omogu\u0107iti zloupotrebu promjene saobra\u0107aj Internet pregleda\u010da na nivou paketa.<\/span><\/p>\n

RedDriver<\/em> infekcija po\u010dinje izvr\u0161avanjem binarne datoteke DnfClientShell32<\/em>.exe<\/em>, koja pokre\u0107e \u0161ifrovanu komunikaciju sa komandno-kontrolnim serverom (C2<\/em>) kao bi se preuzeo zlonamjerni upravlja\u010dki softver.<\/span><\/p>\n

 <\/p>\n

Opoziv certifikata<\/strong><\/span><\/h4>\n

Nakon ovog otkri\u0107a, kompanija Microsoft<\/em> je opozivala povezane certifikate i suspendovala naloge programera koji zloupotrebljavaju ovaj propust kroz objavljena a\u017euriranja. Pored toga, kompanija Microsoft<\/em> je implementirala otkrivanje i blokiranje u Microsoft<\/em> Defender<\/em> 1.391.3822.0<\/em> i novije verzije kako bi za\u0161titila korisnike od legitimno potpisanih drajvera koji su zlonamjerno kori\u0161\u0107eni u aktivnostima nakon eksploatacije.<\/span><\/p>\n

 <\/p>\n

Za\u0161tita<\/strong><\/span><\/h5>\n

Pore\u0111enje vremenske oznake digitalnog potpisa sa datumom kompilacije upravlja\u010dkog softvera ponekad mo\u017ee biti efikasan na\u010din za otkrivanje slu\u010dajeva falsifikovanja vremenske oznake. Me\u0111utim, va\u017eno je napomenuti da se i datumi kompilacije mogu promijeniti tako da odgovaraju vremenskim oznakama potpisa.<\/span><\/p>\n

Korisnicima se preporu\u010duje blokiranje identifikovanih certifikata<\/a>, jer je identifikacija upravlja\u010dkog softvera te\u0161ka za otkrivanje heuristi\u010dkom metodom i najefikasniji na\u010din za\u0161tite je blokiranje putem he\u0161 sume datoteke ili certifikata koji se koriste za njihovo potpisivanje.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h5>\n

HookSignTool<\/em> i FuckCertVerifiTimeValiditi<\/em> alatke predstavljaju ozbiljnu prijetnju, jer instalacija zlonamjernog upravlja\u010dkog softvera mo\u017ee da omogu\u0107i napada\u010du pristup sistemu na nivou jezgra operativnog sistema. Ovi alati se tako\u0111e mogu koristiti za ponovno potpisivanje krekovanog upravlja\u010dkog softvera kako bi se zaobi\u0161lo DRM<\/em> (eng. digital rights management<\/em>), \u0161to mo\u017ee dovesti do finansijskih gubitka zbog softverske piraterije. Osim ovih rizika, pokretanje neprovjerenih drajvera \u010dak i ako nije prisutna zlonamjerna namjera, mo\u017ee da o\u0161teti sistem ako upravlja\u010dki program nije ispravno napisan.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Kompanija Microsoft je blokirala certifikate koje su koristili napada\u010di za potpisivanje i u\u010ditavanje upravlja\u010dkog softvera jezgra (eng. kernel) na korisni\u010dkim ure\u0111ajima zloupotrebljavaju\u0107i Windows polise.<\/p>","protected":false},"author":1,"featured_media":5072,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[465,185,130,464,466,143],"class_list":["post-5068","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-certificate","tag-kernel","tag-microsoft","tag-policy","tag-reddriver","tag-windows"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5068","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5068"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5068\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5072"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5068"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5068"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5068"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}