معمولا هکرها و توسعه دهندگان چینی با استفاده از گواهی نامه امضای کد، درایورهای مخرب کرنل را بر روی سیستمهای نقض شده بارگیری میکنند. مایکروسافت با مسدود کردن این گواهی نامه، سعی بر رفع حفرههای سیاست ویندوز دارد.
درایورهای کرنل (Kernel-mode drivers) یا هسته ای، در بالاترین سطح امتیاز ویندوز (Ring 0) اجرا میشوند و دسترسی کاملی به استخراج اطلاعات محرمانه، ماندگاری مخفیانه و توانایی خاتمه دادن به تقریبا هر فرآیندی را، فراهم میکنند.
حتی اگر دستگاه آسیب دیده، دارای ابزارهای امنیتی باشد، درایور کرنل میتواند با ایجاد اختلال در عملکرد آنها، قابلیتهای پیشرفته حفاظتی را غیر فعال کنند یا با تغییرات پیکربندی سیستم هدف، شناسایی نشوند.
مایکروسافت، در ویندوز ویستا با ایجاد تغییراتی در سیاستهای خود، نحوه بارگذاری درایوهای کرنل را در سیستم عامل محدود کرد. به واسطه این تغییرات، توسعه دهندگان ملزم به ارسال درایوها برای بررسی و امضا در پروتال توسعه دهندگان مایکروسافت هستند.
با این وجود، مایکروسافت به منظور جلوگیری از مشکلات ناشی از برنامههای قدیمیتر، استثنائات زیر را معرفی کرد که اجازه بارگذاری درایورهای کرنل را میدهد:
- Pc که از نسخه قبلی ویندوز به ویندوز 10 ورژن 1607، ارتقا یافته است.
- خاموش بودن Secure Boot در BIOS.
- درایورها توسط یک گواهی صادر شده قبل از تاریخ 29 ژانویه 2015، امضا شده باشند و توسط CA پشتیبانی شوند.
بر اساس گزارش جدید Cisco Talos، هکرهای چینی با استفاده از دو ابزار منبع باز “HookSignTool” و ” FuckCertVerify” از استثنا سوم سواستفاده میکنند و تاریخ امضای درایورهای مخرب کرنل را به قبل از 29 جولای 2015 تغییر میدهند. با این تغییر تاریخ امضا، آنها میتوانند از گواهیهای قدیمی باطل نشده و درز یافته، برای امضا درایورهای خود و سپس بارگذاری آنها در ویندوز استفاده کنند.
- بیشتر بخوانید: سیسکو باگ مهم AnyConnect را رفع میکند!
ابزارهایHookSignTool و FuckCertVerify
HookSignTool، یک ابزار با ویژگیهای فراوان است که در سال 2019 توسط یک انجمن کرک نرم افزار چینی منتشر شد. این ابزار با استفاده از API ویندوز و ابزار امضای قانونی کد، درایورهای مخرب را امضا میکند. این ابزار از کتابخانه Microsoft Detours برای رهگیری و نظارت بر تماسهای Win32 API و سفارشی سازی تابع «CertVerifyTimeValidity» با نام “NewCertVerifyTimeValidity” استفاده میکند و تاریخهای نامعتبر را تایید میکند.
HackSignTool ، با استفاده از “JemmyLoveJenny EV Root CA certificate” درایورهایی را که از نظر تاریخی معتبر نیستند را امضا میکند.
لازم به ذکر است که امضا جعلی این گواهی قابل شناسایی است و در نتیجه امکان تشخیص درایورهایی که با HookSignTool امضا شدهاند، وجود دراد.
در گزارش دیگری از Cisco Talos، یک نمونه واقعی از درایور مخرب به نام «RedDriver» که توسط HookSignTool امضا شده است، به طور کامل بررسی شده است.
RedDriver، مرورگرها را هک میکند و با هدف قرار دادن Chrome، Edge، Firefox و بسیاری از مرورگرهای محبوب چینی، ترافیک آنها را رهگیری میکند.
یکی دیگر از ابزار مورد استفاده هکرها برای تغییر مهرزمانی امضای درایورهای مخرب کرنل FuckCertVerify است. این ابزار در ابتدا دسامبر 2018 در GitHub به عنوان ابزاری برای تقلب در بازی در دسترس قرار گرفت.
- مقاله مرتبط با این موضوع: یک بدافزار جدید Serverهای Exchange را هدف قرار داد!
طبق گفته FuckCertVerifyTimeValidity
Cisco Talos، مشابه HookSignTool عمل میکند. در واقع این ابزار با استفاده از پکیج Detours مایکروسافت برای اتصال به تماس API ” CertVerifyTimeValidity”، مهر زمانی را به صورت انتخابی تغییر میدهد.
اما تشخیص جعلی بودن امضای FuckCertVerifyTimeValidity برخلاف HookSignTool بسیار دشوار است. هر دو این ابزارها به گواهیهای امضا شده و ابطال نشده با تاریخ پیش از 29 ژانویه 2015، کلید خصوصی و رمز عبور نیاز دارند.
طبق بررسی کارشناسان سیسکو، بیش از دهها گواهی در GitHub و انجمنهای چینی وجود دارد که توسط این ابزارها با دور زدن DRM و درایورهای کرنل، برای کرک بازیها استفاده میشوند.
- اگر نیاز به خدمات امنیت و پشتیبانی شبکه، تنظیم تجهیزات شبکه، راه اندازی ویپ، مجازی سازی سرور و سایر سرویس های شبکه دارید؛ میتوانید از کارشناسان مجموعه هنر توسعه و ارتباطات شایگان کمک بگیرید.
مایکروسافت گواهیها را باطل میکند!
با ارائه گزارشهای مشابه توسط Sophos و Trend Micro مبنی بر این سواستفاده هکرها، مایکروسافت، گواهینامههای مرتبط را باطل کرد. همچنین حسابهای توسعهدهندگانی که از این خلا سیاست ویندوز سوء استفاده میکردند، به حالت تعلیق در خواهد آمد.
طبق گزارش Sophos، بیش از صد درایور مخرب کرنل شناسایی شده است که به عنوان EDR Killers برای محدود کردن نرم افزارهای امنیتی استفاده میشوند. از این دایورها، میتوان برای پایان دادن به هر نرم افزاری، از جمله فرآیندهای آنتی ویروس استفاده کرد.
مایکروسافت، این درایورها را به عنوان بخشی از به روز رسانی خود درWindows Driver.STL لغو کرده است. اگرچه گواهیهای کشف شده توسط Cisco و Sophos اکنون باطل شدهاند اما خطر از بین نرفته است؛ زیرا احتمالا گواهیهای زیادی در دسترس هکرها برای سواستفاده از حفرههای سیاستی ویندوز وجود دارد.
اگر به اخبار و اطلاعات فناوری علاقهمند هستید، پیشنهاد میکنیم بخش اخبار فناوری از وبلاگ رسمی هنر توسعه و ارتباطات شایگان را دنبال کنید.
منبع: BLEEPINGCOMPUTER
سوالات متداول
ابزارهای مورد استفاده هکرها برای بارگذاری درایوهای مخرب کرنل کدام هستند؟
هکرها با استفاده از دو ابزار منبع باز “HookSignTool” و ” FuckCertVerify” مهر زمانی دایورهای مخرب را به قبل از 29 جولای 2015 تغییر میدهند.
آیا تغییر مهر زمانی دایورهای کرنل توسط “HookSignTool” و ” FuckCertVerify” قابل تشخیص است؟
تشخیص دایورهای که با HookSignTool امضا میشوند وجود دارد؛ اما تشخیص جعلی بودن امضای FuckCertVerifyTimeValidity دشوارتر است.