Manipulierte Microsoft-Treiber

Bei mehreren kürzlich durchgeführten Untersuchungen beobachtete das Vigilance DFIR-Team von SentinelOne einen Bedrohungsakteur, der einen von Microsoft signierten manipulierten Treiber verwendete, um Sicherheitsschranken zu umgehen. Der Treiber wurde zusammen mit einer separat ausführbaren Userland-Datei verwendet. Das Ziel war es verschiedene Prozesse auf den Zielendpunkten zu steuern, anzuhalten und zu beenden. In einigen Fällen bestand die Absicht der Angreifer darin, letztlich SIM-Swapping-Dienste anzubieten.  Auch das Forschungsteam von Mandiant beobachtete ähnliche Aktivitäten.  Microsoft hat ein eigenes Advisory herausgegeben.

Die Forscher haben herausgefunden, dass prominente Bedrohungsakteure rechtmäßig signierte Microsoft-Treiber für aktive Angriffe auf Telekommunikations-, BPO-, MSSP- und Finanzdienstleistungsunternehmen missbrauchen. Die Untersuchungen führten zur Entdeckung der Malware POORTRY und STONESTOP, die AV- und EDR-Prozesse beenden sollen. Dies wurde erstmals im Oktober 2022 an das Security Response Center (MSRC) von Microsoft berichtet und erhielt die offizielle Fallnummer (75361).

In diesem Jahr waren die Angreifer an einer Reihe von Angriffen beteiligt, die sich vor allem gegen Business Process Outsourcing (BPO) und Telekommunikationsunternehmen richteten. Weitere Ziele waren die Bereiche Unterhaltung, Transport, Managed Security Service Providers (MSSP), Finanzen und Kryptowährungen. SentinelLabs, die Forschungsabteilung von SentinelOne, hat beobachtet, dass ein anderer Bedrohungsakteur ebenfalls einen ähnlichen von Microsoft signierten Treiber verwendet hat, um ein Ziel in der Medizinbranche zu attackieren. Das deutet darauf hin, dass diese Technik von verschiedenen Akteuren in größerem Umfang genutzt wird.

Vertrauensmissbrauch mit signierten Treibern

Das Hauptproblem bei diesem Verfahren ist, dass die meisten Sicherheitslösungen implizit allem vertrauen, was nur von Microsoft signiert ist, insbesondere Kernel-Modus-Treibern. Seit Windows 10 verlangt Microsoft, dass alle Kernel-Mode-Treiber über das Windows Hardware Developer Center Dashboard-Portal signiert werden. Alles, was nicht über diesen Prozess signiert wurde, kann in modernen Windows-Versionen nicht geladen werden. Die Absicht dieser neuen Anforderung war eine strengere Kontrolle und Sichtbarkeit von Treibern, die auf der Kernel-Ebene arbeiten. Die Bedrohungsakteure haben allerdings erkannt, dass sie freie Hand haben, um zu tun, was sie wollen, wenn es ihnen gelingt diesen Prozess auszutricksen.

Der Trick besteht darin, einen Treiber zu entwickeln, der für die von Microsoft während des Überprüfungsprozesses durchgeführten Sicherheitsprüfungen nicht als bösartig erscheint. Dies ist nicht das erste Mal, dass ein bösartiger Kernel-Mode-Treiber von Microsoft signiert wurde. Im Juni 2021 veröffentlichte GData einen Bericht über ein bösartiges Netfilter-Rootkit, das mit dem gleichen Verfahren wie oben beschrieben signiert wurde.

Bedrohungspotenzial von manipulierten Treibern

Die Sicherheitsforscher gehen davon aus, dass die oben erwähnten schadhaften Treiber sowie der Treiber vom Juni 2021 von verschiedenen Bedrohungsakteuren verwendet wurden. Dies wirft eine wichtige Frage auf: Wird der Prozess der Treibersignierung von einem oder mehreren Anbietern ausgenutzt und als Service für verschiedene zahlungswillige Bedrohungsakteure angeboten?

Eine andere Theorie besagt, dass mehrere Bedrohungsakteure legitime Treiberentwickler kompromittiert haben und deren EV-Zertifikat heimlich verwendet haben, um die Treiber unter Verwendung ihres Entwicklerkontos zu signieren und zu übermitteln. Dieses Szenario ist jedoch weniger wahrscheinlich, da die privaten EV-Schlüssel auf einem physischen Hardware-Token gespeichert werden müssen, um digitalen Diebstahl zu verhindern. Obwohl sie von zwei verschiedenen Bedrohungsakteuren verwendet wurden, funktionierten sie auf fast dieselbe Weise. Dies deutet darauf hin, dass sie möglicherweise von ein und derselben Person entwickelt und anschließend zur Verwendung durch eine andere Person verkauft wurden.

Fazit

Code-Signierungsmechanismen sind ein wichtiges Merkmal moderner Betriebssysteme. Die Einführung der Durchsetzung von Treibersignaturen war über Jahre hinweg der Schlüssel zur Eindämmung der Flut von Rootkits. Die nachlassende Effektivität der Codesignierung stellt eine Bedrohung für die Sicherheits- und Überprüfungsmechanismen auf allen Betriebssystemschichten dar. Es bleibt zu hoffen, dass Microsoft Schritte unternimmt, um die Sicherheit seines Signierungsprozesses weiter zu verbessern, damit das implizite Vertrauen in von Microsoft signierte Treiber erhalten bleibt.

Fazit Mandiant

Der Prozess der Bescheinigungssignierung verlagert die Verantwortung für die Überprüfung der Identität des antragstellenden Hardware- oder Softwareherstellers auf die Zertifizierungsstellen. Theoretisch ist dies ein gültiger Prozess, da die Zertifizierungsstellen vereinbarte Verfahren befolgen müssen, um die Identität der antragstellenden Einrichtung und die Befugnis der Person, die den Antrag stellt, den Softwarehersteller zu vertreten, zu überprüfen. Dieses Verfahren wird jedoch missbraucht, um von Microsoft signierte Malware zu erhalten.

Dies ist kein neues Phänomen; sowohl GData als auch BitDefender haben im Jahr 2021 Berichte über von Microsoft signierte bösartige Treiber veröffentlicht. In den Berichten „Microsoft signed a malicious Netfilter Rootkit“ und „Digitally-Signed Rootkits are Back – A Look at FiveSys and Companions“ wurde über bösartige Treiber berichtet, die über denselben Bescheinigungsprozess signiert wurden, der auch in diesem Blogbeitrag behandelt wird.

Während sich dieser Blog-Beitrag auf POORTRY und den Attestierungsprozess konzentrierte, hat Mandiant beobachtet, dass auch andere Malware über Attestierung signiert wird. TEMPLESHOT ist eine Malware-Familie, die aus einem Dropper, einer Backdoor, einem Filtertreiber und einem Schutztreiber besteht. Der TEMPLESHOT-Treiber mit der MD5-Nummer 48bf11dd6c22e241b745d3bb1d562ca1 wurde in freier Wildbahn beobachtet und ist per Attestierung signiert.