Драйвер Netfilter оказался руткитом, нацеленным на игровой сектор.
Компания Microsoft признала, что подписала вредоносный драйвер, который теперь распространяется в игровой среде. Драйвер под названием Netfilter на самом деле является руткитом, подключающимся к C&C-инфраструктуре с китайскими IP-адресами.
Специалист по вредоносному ПО компании G Data Карстен Хан (Karsten Hahn)
обнаружил неладное на прошлой неделе, когда система оповещения о вредоносном ПО G Data обозначила Netfilter как вредоносную программу. Хан уведомил Microsoft о проблеме взялся за отслеживание и изучение драйвера.
Данный инцидент в очередной раз демонстрирует риски, связанные с недостаточным обеспечением безопасности цепочки поставок. На этот раз проблема связана с недочетами в используемом Microsoft процессе подписания кода.
Как пояснил исследователь, начиная с Windows Vista, в целях обеспечения стабильности работы системы, любой код, запущенный в режиме ядра, должен быть протестирован и подписан до публичного релиза. Драйверы без сертификата Microsoft по умолчанию устанавливаться не могут.
Как показывает анализ URL-адресов используемой Netfilter C&C-инфраструктуры, первый URL-адрес возвращает набор дополнительных маршрутов (URL), разделенных вертикальной чертой ("|"). Каждый из них играет свою роль:
- URL-адрес, заканчивающийся на "/p", связан с настройками прокси-сервера;
- "/s" обеспечивает закодированную переадресацию IP-адресов;
- "/h?" предназначен для получения CPU-ID;
- "/c" обеспечивает корневой сертификат;
- "/v?" связан с функцией автоматического обновления вредоносного ПО.
Исследователь G Data провел тщательный анализ драйвера и пришел к выводу, что он является вредоносным. Хан проанализировал драйвер, его функции самообновления и индикаторы компрометации (IOC) и
изложил подробности в блоге.
Примечательно, что, согласно WHOIS, IP-адрес 110.42.4.180, к которому подключается Netfilter, принадлежит компании Ningbo Zhuo Zhi Innovation Network Technology.
В настоящее время Microsoft проводит тщательное расследование инцидента. Свидетельств того, что кто-то похитил ее сертификат для подписи кода, пока не обнаружено. Похоже, злоумышленник воспользовался процессом Microsoft по отправке драйверов и сумел легитимным образом получить подписанный Microsoft двоичный файл через программу Windows Hardware Compatibility Program.
Microsoft
приостановила действие учетной записи злоумышленника и проверила все отправленные им материалы на предмет наличия в них признаков вредоносного ПО.
По данным компании, с помощью драйвера злоумышленник в основном нацеливался на игровой сектор, особенно в Китае, и пока нет никаких свидетельств того, что были затронуты корпоративные среды. Microsoft пока воздерживается от приписывания этого инцидента правительству какой-либо страны.
SecurityLab 
