Блог

Jul 14, 2023

Торжественно клянусь, что мой драйвер не годится: охота за подписанным вредоносным ПО

В ходе недавнего расследования инцидентов компания Mandiant обнаружила вредоносный драйвер, используемый для завершения отдельных процессов в системах Windows. В данном случае драйвер использовался в попытке

В ходе недавнего расследования инцидентов компания Mandiant обнаружила вредоносный драйвер, используемый для завершения отдельных процессов в системах Windows. В этом случае драйвер использовался при попытке завершить работу агента обнаружения и реагирования конечных точек (EDR) на конечной точке. Mandiant отслеживает вредоносный драйвер и его загрузчик как POORTRY и STONESTOP соответственно. Вскоре после первоначального обнаружения компания Mandiant обнаружила образец драйвера POORTRY, подписанный подписью Authenticode совместимости оборудования Microsoft Windows. Тщательный анализ метаданных Authenticode драйвера привел к более масштабному расследованию вредоносных драйверов, подписанных через программу совместимости оборудования Windows. Расследование выявило более широкую проблему:

Это исследование публикуется вместе с публикацией в блоге наших коллег из SentinelOne.

Отношения строятся на доверии. То же самое касается наших отношений с программным обеспечением, на которое мы полагаемся при ежедневном использовании наших компьютеров; Доверяю ли я выполнению этой программы и почему? Программное обеспечение может быть очень непрозрачным для конечных пользователей; когда он утверждает, что принадлежит компании X, какие механизмы существуют для проверки надежности программного обеспечения?

[Очередь, музыка для выхода Джона Сины.]

Подписание кода вышло на рынок.

Подписание кода — это средство обеспечения целостности и подлинности данного файла. Поставщики программного обеспечения получают сертификаты, используемые для подписи кода, от доверенных центров сертификации (CA), которые соблюдают стандарты, установленные Форумом CA/Browser Forum и Советом безопасности CA. В этих руководящих принципах подробно описаны требования, которые включают проверку юридического существования и личности компании, а также то, что запрашивающая сертификат уполномочена действовать от имени поставщика программного обеспечения, которого он якобы представляет.

Этот сертификат затем используется для подписи программного обеспечения и обеспечения уровня доверия между программным обеспечением и операционной системой. Политики обеспечения подписи кода различаются в зависимости от операционной системы и типа файла: от разрешения только выполнения подписанного кода до минимизации предупреждений безопасности для выполнения подписанного кода до простого использования в качестве цифровой подписи, обозначающей подлинность приложения.

Реализация подписи кода Microsoft для двоичных файлов Windows известна как Authenticode. Authenticode имеет несколько функций, специфичных для драйверов и пакетов драйверов, и помогает поставщикам оборудования правильно подписывать свои драйверы с помощью программы совместимости оборудования Windows.

«Программа совместимости оборудования Windows призвана помочь вашей компании поставлять системы, программное обеспечение и аппаратные продукты, совместимые с Windows и надежно работающие в Windows 10, Windows 11 и Windows Server 2022. Программа также предоставляет рекомендации по разработке, тестированию и распространению драйверов. . Используя панель управления Центра разработки оборудования для Windows, вы можете управлять отправкой материалов, отслеживать производительность вашего устройства или приложения, просматривать данные телеметрии и многое другое».

Программа совместимости оборудования Windows состоит из нескольких этапов.

Для обеспечения работоспособности в Windows 10 и более поздних версиях драйверы можно отправить в Microsoft дляподписание аттестата.

В этом процессе подписания аттестации цифровые подписи используются для проверки целостности отправленных пакетов драйверов и для проверки личности издателя программного обеспечения, предоставившего пакеты драйверов. Этот процесс требует, чтобы отправляющая организация подписала свой пакет драйверов сертификатом расширенной проверки (EV), который предъявляет повышенные требования к идентификации по сравнению с другими сертификатами подписи кода и должен использовать более надежные алгоритмы шифрования. Эти сертификаты EV предлагаются меньшим кругом центров сертификации, которые согласились с расширенными требованиями аудита.

В качестве дополнительного шага поставщики могут отправить свои драйверы на тестирование Hardware Lab Kit (HLK), чтобы получить сертификат Windows. Когда драйвер получает подпись аттестата, он не сертифицирован Windows. Подпись аттестации от Microsoft указывает, что Windows может доверять драйверу, но поскольку драйвер не тестировался в HLK Studio, нет никаких гарантий относительно совместимости, функциональности и т. д.