Компания Microsoft признала, что подписала вредоносный драйвер, который теперь распространяется в игровой среде. Драйвер под названием Netfilter на самом деле является руткитом, подключающимся к C&C-инфраструктуре с китайскими IP-адресами. Специалист по вредоносному ПО компании G Data Карстен Хан (Karsten Hahn) обнаружил неладное на прошлой неделе, когда система оповещения о вредоносном ПО G Data обозначила Netfilter как вредоносную программу. Хан уведомил Microsoft о проблеме взялся за отслеживание и изучение драйвера. Данный инцидент в очередной раз демонстрирует риски, связанные с недостаточным обеспечением безопасности цепочки поставок. На этот раз проблема связана с недочетами в используемом Microsoft процессе подписания кода. Как пояснил исследователь, начиная с Windows Vista, в целях обеспечения стабильности работы системы, любой код, запущенный в режиме ядра, должен быть протестирован и подписан до публичного релиза. Драйверы без сертификата Microsoft по умолчанию устанавливаться не могут. Как показывает анализ URL-адресов используемой Netfilter C&C-инфраструктуры, первый URL-адрес возвращает набор дополнительных маршрутов (URL), разделенных вертикальной чертой («|»). Каждый из них играет свою роль:
URL-адрес, заканчивающийся на «/p», связан с настройками прокси-сервера;
«/s» обеспечивает закодированную переадресацию IP-адресов;
«/h?» предназначен для получения CPU-ID;
«/c» обеспечивает корневой сертификат;
«/v?» связан с функцией автоматического обновления вредоносного ПО.
Исследователь G Data провел тщательный анализ драйвера и пришел к выводу, что он является вредоносным. Хан проанализировал драйвер, его функции самообновления и индикаторы компрометации (IOC) и изложил подробности в блоге. Примечательно, что, согласно WHOIS, IP-адрес 110.42.4.180, к которому подключается Netfilter, принадлежит компании Ningbo Zhuo Zhi Innovation Network Technology. В настоящее время Microsoft проводит тщательное расследование инцидента. Свидетельств того, что кто-то похитил ее сертификат для подписи кода, пока не обнаружено. Похоже, злоумышленник воспользовался процессом Microsoft по отправке драйверов и сумел легитимным образом получить подписанный Microsoft двоичный файл через программу Windows Hardware Compatibility Program. Microsoft приостановила действие учетной записи злоумышленника и проверила все отправленные им материалы на предмет наличия в них признаков вредоносного ПО. По данным компании, с помощью драйвера злоумышленник в основном нацеливался на игровой сектор, особенно в Китае, и пока нет никаких свидетельств того, что были затронуты корпоративные среды. Microsoft пока воздерживается от приписывания этого инцидента правительству какой-либо страны.