Tecnología

Microsoft admite haber firmado malware rootkit en el fiasco de la cadena de suministro

Microsoft

Microsoft ahora ha confirmado la firma de un controlador malicioso que se distribuye dentro de los entornos de juego.

Este controlador, llamado “Netfilter”, es de hecho un rootkit que se observó comunicándose con las direcciones IP de comando y control (C2) de China.

El analista de malware de G Data, Karsten Hahn, se dio cuenta de este evento por primera vez la semana pasada y se unió a la información más amplia. community para rastrear y analizar los controladores maliciosos que llevan el sello de Microsoft.

Resulta que la infraestructura C2 pertenece a una empresa clasificada como “Ejército comunista chino” por el Departamento de Defensa de Estados Unidos.

Este incidente ha vuelto a exponer las amenazas a la seguridad de la cadena de suministro de software, excepto que esta vez se debe a una debilidad en el proceso de firma de código de Microsoft.

El controlador “Netfilter” es un rootkit firmado por Microsoft

La semana pasada, los sistemas de alerta de ciberseguridad de G Data señalaron lo que parecía ser un falso positivo, pero no lo era: un controlador firmado por Microsoft llamado “Netfilter”.

Se vio que el conductor en cuestión se comunicaba con IP de C&C con sede en China que no proporcionaban una funcionalidad legítima y, como tal, generó sospechas.

Aquí es cuando el analista de malware de G Data, Karsten Hahn, compartió esto en público y al mismo tiempo se puso en contacto con Microsoft:

microsoft firma controlador netfilter malicioso
El binario malicioso ha sido firmado por Microsoft. (VirusTotal)

“Desde Windows Vista, cualquier código que se ejecute en modo kernel debe probarse y firmarse antes del lanzamiento público para garantizar la estabilidad del sistema operativo”.

“Los controladores sin un certificado de Microsoft no se pueden instalar de forma predeterminada”, afirma Hahn.

En ese momento, Bleeping Computer comenzó a observar el comportamiento de las URL C2 y también se comunicó con Microsoft para obtener una declaración.

La primera URL C2 devuelve un conjunto de más rutas (URL) separadas por el símbolo de barra vertical (“|”):

primera respuesta c2
Navegar a la URL C2 presenta más rutas para diferentes propósitos
Fuente: BleepingComputer

Cada uno de estos tiene un propósito, según Hahn:

  • La URL que termina en “/ p” está asociada con la configuración del proxy,
  • “/ s” proporciona direcciones IP de redireccionamiento codificadas,
  • “/ H?” es para recibir CPU-ID,
  • “/ c” proporcionó un certificado raíz y
  • “/ v?” está relacionado con la función de actualización automática del malware.

Como lo ve Bleeping Computer, por ejemplo, el “/ v?” ruta proporcionada URL al controlador Netfilter malicioso en cuestión (que vive en “/ d3”):

ruta al binario de malware
Ruta al controlador de netfilter malicioso
Fuente: BleepingComputer

El investigador de G Data dedicó un tiempo a analizar suficientemente el controlador y concluyó que se trataba de malware.

El investigador ha analizado el controlador, su funcionalidad de autoactualización y los indicadores de compromiso (IOC) en un detallado entrada en el blog.

“La muestra tiene una rutina de actualización automática que envía su propio hash MD5 al servidor a través de hxxp: //110.42.4.180: 2081 / v? v = 6 & m =“, dice Hahn.

Una solicitud de ejemplo se vería así:

hxxp: //110.42.4.180: 2081 / v? v = 6 & m = 921fa8a5442e9bf3fe727e770cded4ab

“A continuación, el servidor responde con la URL de la muestra más reciente, por ejemplo, hxxp: //110.42.4.180: 2081 / d6 o con ‘Aceptar’ si la muestra está actualizada. El malware reemplaza su propio archivo en consecuencia”, además explicó el investigador.

funcionalidad de actualización automática
Funcionalidad de actualización automática de malware analizada por G Data

Durante el transcurso de su análisis, a Hahn se unieron otros investigadores de malware, incluidos Johann Aydinbas, Takahiro Haruyama, y Florian Roth.

Roth pudo recopilar la lista de muestras en un hoja de cálculo y ha proporcionado reglas YARA para detectarlas en sus entornos de red.

En particular, la C2 IP 110.42.4.180 a la que se conecta el controlador malicioso de Netfilter pertenecía Tecnología Co., Ltd de la red de innovación de Ningbo Zhuo Zhi según los registros de WHOIS.

El Departamento de Defensa de EE. UU. (DoD) ha marcado esta organización como una “empresa militar china comunista”, otro investigador @cowonaut observado.

Microsoft admite haber firmado el controlador malicioso

Microsoft está investigando activamente este incidente, aunque hasta ahora no hay evidencia de que se hayan utilizado certificados de firma de código robados.

El percance parece haber sido el resultado de que el actor de amenazas siguió el proceso de Microsoft para enviar los controladores Netfilter maliciosos y logró adquirir el binario firmado por Microsoft de manera legítima:

“Microsoft está investigando a un actor malintencionado que distribuye controladores malintencionados en entornos de juego”.

“El actor envió los controladores para su certificación a través del Programa de compatibilidad de hardware de Windows. Los controladores fueron creados por un tercero”.

“Hemos suspendido la cuenta y revisamos sus envíos en busca de signos adicionales de software malicioso”. dicho Microsoft ayer.

Según Microsoft, el actor de amenazas se ha dirigido principalmente al sector de los juegos específicamente en China con estos controladores maliciosos, y no hay indicios de que los entornos empresariales se hayan visto afectados hasta ahora.

Microsoft se ha abstenido de atribuir este incidente a los actores del estado-nación por el momento.

Los actores de amenazas sofisticados pueden abusar de los binarios con firma falsa para facilitar ataques a la cadena de suministro de software a gran escala.

El ataque multifacético de Stuxnet que tuvo como objetivo el programa nuclear de Irán marca un incidente bien conocido en el que se emitieron certificados de firma de código. robó de Realtek y JMicron para facilitar el ataque.

Este incidente en particular, sin embargo, ha expuesto debilidades en un proceso de firma de código legítimo, explotado por los actores de amenazas para adquirir código firmado por Microsoft sin comprometer ningún certificado.

Leave a Comment

You may also like

Más