Bei mehreren kürzlich durchgeführten Untersuchungen beobachtete das Vigilance DFIR-Team von SentinelOne einen Bedrohungsakteur, der einen von Microsoft signierten manipulierten Treiber verwendete, um Sicherheitsschranken zu umgehen. Der Treiber wurde zusammen mit einer separat ausführbaren Userland-Datei verwendet.
Das Ziel war es verschiedene Prozesse auf den Zielendpunkten zu steuern, anzuhalten und zu beenden. In einigen Fällen bestand die Absicht der Angreifer darin, letztlich SIM-Swapping-Dienste anzubieten.
Die Forscher haben herausgefunden, dass prominente Bedrohungsakteure rechtmäßig signierte Microsoft-Treiber für aktive Angriffe auf Telekommunikations-, BPO-, MSSP- und Finanzdienstleistungsunternehmen missbrauchen. Die Untersuchungen führten zur Entdeckung der Malware POORTRY und STONESTOP, die AV- und EDR-Prozesse beenden sollen. Dies wurde erstmals im Oktober 2022 an das Security Response Center (MSRC) von Microsoft berichtet und erhielt die offizielle Fallnummer (75361).
In diesem Jahr waren die Angreifer an einer Reihe von Angriffen beteiligt, die sich vor allem gegen Business Process Outsourcing (BPO) und Telekommunikationsunternehmen richteten. Weitere Ziele waren die Bereiche Unterhaltung, Transport, Managed Security Service Providers (MSSP), Finanzen und Kryptowährungen. SentinelLabs, die Forschungsabteilung von SentinelOne, hat beobachtet, dass ein anderer Bedrohungsakteur ebenfalls einen ähnlichen von Microsoft signierten Treiber verwendet hat, um ein Ziel in der Medizinbranche zu attackieren. Das deutet darauf hin, dass diese Technik von verschiedenen Akteuren in größerem Umfang genutzt wird.
Vertrauensmissbrauch mit signierten Treibern
Das Hauptproblem bei diesem Verfahren ist, dass die meisten Sicherheitslösungen implizit allem vertrauen, was nur von Microsoft signiert ist, insbesondere Kernel-Modus-Treibern. Seit Windows 10 verlangt Microsoft, dass alle Kernel-Mode-Treiber über das Windows Hardware Developer Center Dashboard-Portal signiert werden. Alles, was nicht über diesen Prozess signiert wurde, kann in modernen Windows-Versionen nicht geladen werden. Die Absicht dieser neuen Anforderung war eine strengere Kontrolle und Sichtbarkeit von Treibern, die auf der Kernel-Ebene arbeiten. Die Bedrohungsakteure haben allerdings erkannt, dass sie freie Hand haben, um zu tun, was sie wollen, wenn es ihnen gelingt diesen Prozess auszutricksen.
Der Trick besteht darin, einen Treiber zu entwickeln, der für die von Microsoft während des Überprüfungsprozesses durchgeführten Sicherheitsprüfungen nicht als bösartig erscheint. Dies ist nicht das erste Mal, dass ein bösartiger Kernel-Mode-Treiber von Microsoft signiert wurde. Im Juni 2021 veröffentlichte GData einen Bericht über ein bösartiges Netfilter-Rootkit, das mit dem gleichen Verfahren wie oben beschrieben signiert wurde.
Bedrohungspotenzial von manipulierten Treibern
Die Sicherheitsforscher gehen davon aus, dass die oben erwähnten schadhaften Treiber sowie der Treiber vom Juni 2021 von verschiedenen Bedrohungsakteuren verwendet wurden. Dies wirft eine wichtige Frage auf: Wird der Prozess der Treibersignierung von einem oder mehreren Anbietern ausgenutzt und als Service für verschiedene zahlungswillige Bedrohungsakteure angeboten?
Eine andere Theorie besagt, dass mehrere Bedrohungsakteure legitime Treiberentwickler kompromittiert haben und deren EV-Zertifikat heimlich verwendet haben, um die Treiber unter Verwendung ihres Entwicklerkontos zu signieren und zu übermitteln. Dieses Szenario ist jedoch weniger wahrscheinlich, da die privaten EV-Schlüssel auf einem physischen Hardware-Token gespeichert werden müssen, um digitalen Diebstahl zu verhindern. Obwohl sie von zwei verschiedenen Bedrohungsakteuren verwendet wurden, funktionierten sie auf fast dieselbe Weise. Dies deutet darauf hin, dass sie möglicherweise von ein und derselben Person entwickelt und anschließend zur Verwendung durch eine andere Person verkauft wurden.
Fazit
Code-Signierungsmechanismen sind ein wichtiges Merkmal moderner Betriebssysteme. Die Einführung der Durchsetzung von Treibersignaturen war über Jahre hinweg der Schlüssel zur Eindämmung der Flut von Rootkits. Die nachlassende Effektivität der Codesignierung stellt eine Bedrohung für die Sicherheits- und Überprüfungsmechanismen auf allen Betriebssystemschichten dar. Es bleibt zu hoffen, dass Microsoft Schritte unternimmt, um die Sicherheit seines Signierungsprozesses weiter zu verbessern, damit das implizite Vertrauen in von Microsoft signierte Treiber erhalten bleibt.
Weitere Informationen über die Untersuchung finden Sie hier.
www.sentinelone.com