微軟正在調查分發惡意 Netfilter 的驅動程序

微軟正在調查一起攻擊，攻擊者使用由該公司簽名的驅動程序 Netfilter 驅動程序植入 Rootkit。

微軟宣布正在調查一名威脅行為者在針對中國游戲行業的攻擊中分發惡意驅動程序。該參與者提交了由第三方構建的驅動程序，以通過 Windows 硬件兼容性計劃 (WHCP) 進行認證。這家 IT 巨頭簽署的其中一個驅動程序名為 Netfilter，是在連接到中國的 C2 時發現的惡意 Windows rootkit。

這家 IT 巨頭指出，其 WHCP 簽名證書沒有暴露，其基礎設施也沒有受到黑客的破壞。

據專家介紹，攻擊者使用惡意驅動程序來欺騙他們的地理位置來欺騙系統并從任何地方玩游戲。該惡意軟件允許攻擊者在游戲中獲得優勢，并可能使用鍵盤記錄器等常用工具接管其他玩家的帳戶。

“重要的是要了解這次攻擊中使用的技術是在利用后發生的，這意味著攻擊者必須已經獲得管理權限才能運行安裝程序來更新注冊表并在下次系統啟動時安裝惡意驅動程序或說服用戶代表他們這樣做。” 閱讀Microsoft 安全響應中心 (MSRC) 發布的帖子。

惡意簽名驅動程序是由網絡安全公司 G Data 的惡意軟件分析師 Karsten Hahn 發現的，他發布了有關該威脅的技術細節。

“上周，我們的警報系統通知我們可能出現誤報，因為我們檢測到一個名為“Netfilter”的驅動程序，該驅動程序由 Microsoft 簽名。從 Windows Vista 開始，任何在內核模式下運行的代碼都需要在公開發布之前進行測試和簽名，以確保操作系統的穩定性。默認情況下無法安裝沒有 Microsoft 證書的驅動程序。” 專家寫道。

“在這種情況下，檢測結果為真陽性，因此我們將我們的發現轉發給了微軟，微軟立即將惡意軟件簽名添加到 Windows Defender 中，目前正在進行內部調查。”

Hahn還提供了有關一個細節滴管使用攻擊者部署系統上的Netfilter的驅動程序。

dropper 將 Netfilter 放入 %APPDATA%\netfilter.sys，然后創建文件 %TEMP%\c.xalm ，內容如下，并發出命令 regini.exe x.calm 來注冊驅動程序。

安裝后，驅動程序會嘗試連接到 C2 服務器以檢索配置信息，它支持多種功能，例如 IP 重定向和自我更新功能。

“惡意軟件的核心功能是它的 IP 重定向。目標 IP 地址列表被重定向到45(.)248.10.244:3000。這些 IP 地址以及重定向目標是從hxxp://110.42.4.180:2081/s 獲取的。” 專家補充道。

“研究人員 @jaydinbas在這條推文中反轉了重定向配置，并在pastebin 中提供了最新的解碼配置 。”

VirusTotal 上上傳的舊版 Netfilter 樣本可追溯到 2021 年 3 月 17 日。

Microsoft 已暫停用于提交驅動程序的帳戶，并審查其提交的其他惡意軟件指標。

Micorsoft 還分享了此次攻擊的妥協指標 (IoC)。