0
0
Nas últimas semanas, os invasores aproveitaram soluções alternativas que os permitem assinar drivers de kernel maliciosos, lidando com uma ameaça multifacetada aos sistemas Windows, à integridade dos testes do Windows Hardware Quality Lab, bem como às defesas de endpoint projetadas especificamente para mitigar esses tipos de ameaças.
Essa ameaça emergente ressalta como os invasores continuam a desenvolver técnicas para obter persistência nos sistemas visados, seja por meio de binários assinados e rootkits ou por meios mais simples quando os defensores cometem erros, diz Jamz Yaneza, gerente sênior de pesquisa de ameaças da Trend Micro.
“Os adversários estão constantemente sondando vários pontos de entrada para carregar alavancas maliciosas em sistemas operacionais e estruturas”, diz ele. “Este é essencialmente um ataque à cadeia de suprimentos em que, de alguma forma, os agentes da ameaça conseguiram abusar do sistema e obter um certificado válido que foi aplicado a um driver do kernel, ignorando efetivamente qualquer … monitoramento pela maioria [defesas]”.
Esses ataques tentaram explorar outros sistemas operacionais – como aplicativos para dispositivos móveis iOS da Apple e computadores Mac OS – mas com menos sucesso no ecossistema rigidamente controlado .
A investigação recente da Trend Micro revelou que o grupo vinculado à China por trás do rootkit FiveSys continua tendo sucesso contra os controles de assinatura de código, mais recentemente encontrando maneiras de instalar um rootkit recém-analisado por meio de um driver assinado malicioso para usar como um downloader universal. Quase todas (96%) das amostras de ameaças incluídas na análise envolviam motoristas assinados cujas assinaturas ainda não haviam sido revogadas, com centenas de milhares de amostras descobertas em 2022, de acordo com uma análise publicada pela Trend Micro no início deste mês.
A pesquisa é a mais recente a identificar rootkits escondidos em drivers maliciosos assinados para sistemas Windows. Em outubro de 2021, a empresa de segurança cibernética Bitdefender anunciou que detectou um rootkit assinado pela Microsoft chamado FiveSys que redirecionaria o tráfego do sistema infectado por meio de um proxy. Em ambos os casos, os invasores pretendiam coletar credenciais e sequestrar compras no jogo.
Ignorar assinaturas de código não é o único truque recente. Em outro incidente no final do ano passado, um desenvolvedor de malware anunciou que havia criado um rootkit – BlackLotus – que contornava o Windows Secure Boot, uma alegação que a empresa de segurança cibernética ESET confirmou no final daquele mês . O rootkit de nível de inicialização, ou bootkit, pode infectar o firmware de uma placa-mãe usando uma exploração de dois meses para uma vulnerabilidade conhecida como Baton Drop ( CVE-2022-21894 ).
Atualmente, os bootkits que comprometem o firmware Unified Extensible Firmware Interface (UEFI) são raros e considerados um trabalho sofisticado, mas isso pode mudar, disse Martin Smolár, pesquisador de malware da ESET, em um recente podcast da ESET sobre a descoberta do BlackLotus .
“Quando se trata desses bootkits, eles são fáceis de desenvolver e implantar”, disse ele. “Então, só espero que os grupos de crimeware não comecem a usar bootkits em seu arsenal, porque com suas capacidades de espalhar malware usando suas botnets, isso seria um grande problema, eu acho.”
Drivers assinados desempenham papel descomunal
No caso mais recente, a Trend Micro detectou mais de 400.000 amostras do rootkit e downloader sem nome. Embora quase três quartos das amostras (74%) possam ser detectadas por pelo menos um mecanismo de verificação antimalware, todos, exceto 4% dos binários, foram assinados, de acordo com a empresa de segurança.
“[T]esse malware recém-descoberto … vem como um driver de kernel autônomo assinado diretamente pela Microsoft, que é um vetor de ataque em evolução que tem aparecido com frequência no cenário atual de malware”, afirmou a Trend Micro em sua análise . Apesar da complexidade envolvida, “atores mal-intencionados atuais estão exibindo competência e uso consistente de tais ferramentas, táticas e procedimentos (TTPs), independentemente de seus motivos e objetivos finais”.
Na maior parte, o processo do Windows Hardware Quality Lab (WHQL) é automatizado, o que significa que os adversários conseguiram contornar o processo, diz Rotem Salinas, pesquisador sênior de malware da CyberArk, uma empresa de segurança de identidade.
“O processo WHQL é em sua maioria automatizado e, em alguns casos, os adversários conseguem escapar, em outros casos, eles podem usar certificados roubados de vazamentos de fornecedores”, diz ele. A CyberArk descreveu outras instâncias de malware assinadas pela WHQL em uma análise das tendências atuais de rootkit .
A Microsoft revogou a assinatura usada pelo rootkit mais recente encontrado pela Trend Micro em seu lançamento regular do Patch Tuesday em 11 de julho, observando que os ataques exigiam que o invasor já tivesse privilégios administrativos e que os invasores foram habilitados pelo “abuso de vários programas de desenvolvedor contas e que nenhum comprometimento de conta da Microsoft foi identificado.”
“Suspendemos as contas de vendedores dos parceiros e implementamos detecções de bloqueio para todos os drivers maliciosos relatados para ajudar a proteger os clientes dessa ameaça”, afirmou o Microsoft Security Response Center (MSRC) em suas orientações sobre o ataque. A Microsoft continua trabalhando em soluções de longo prazo, acrescentou a empresa.
Jogos atraem rootkits
Uma grande quantidade de atividade de rootkit parece estar relacionada a jogos – os invasores usaram o BlackLotus para também atingir os servidores de jogos, enquanto outra ameaça, o NetFilter, usou certificados digitais para burlar os mecanismos de segurança do jogo, de acordo com a análise da empresa.
No entanto, as empresas ainda devem estar vigilantes, pois talvez apenas os ataques a jogadores e criadores de jogos tenham sido detectados. No mínimo, superar a segurança antitrapaça é notável, diz Yaneza, da Trend Micro.
“Estamos descobrindo que, embora o campo inicial da indústria-alvo [jogos] possa parecer pequeno, as apostas são maiores – jogos comerciais e jogos de azar são uma indústria de US$ 250 bilhões, enquanto os videogames estão em quase US$ 400 bilhões – de qualquer maneira, você o divide, isso é um bom pedaço de torta”, diz ele. “Ambas as verticais paralelas executam vários mecanismos antitrapaça e de validação por conta própria, talvez um pouco abaixo das verificações de segurança nas instalações do governo”.
A melhor aposta para as empresas é capturar o malware que transporta e instala rootkits, que um bom software de detecção e resposta de endpoint (EDR) deve abordar, diz Yaneza. As empresas também podem consultar o “Guia de Mitigação do BlackLotus da Agência de Segurança Nacional”, publicado em junho.
Depois que um rootkit é instalado em um sistema, o problema se torna muito mais difícil de corrigir, e as regras de comportamento podem ter dificuldade em detectar o comprometimento, diz Salinas, da CyberArk.
“Ele pode deixar apenas evidências que podem ser encontradas olhando para uma memória [ou] despejo do kernel … percorrendo manualmente as estruturas do kernel e procurando por inconsistências”, diz ele.
FONTE: DARKREADING