اخبار فناوری

بارگذاری درایو‌های مخرب کرنل با سواستفاده از حفره‌های سیاستی ویندوز

19 جولای

معمولا هکرها و توسعه دهندگان چینی با استفاده از گواهی نامه امضای کد، درایورهای مخرب کرنل را بر روی سیستم‌های نقض شده بارگیری می‌کنند. مایکروسافت با مسدود کردن این گواهی نامه، سعی بر رفع حفره‌های سیاست ویندوز دارد.

درایورهای کرنل (Kernel-mode drivers) یا هسته ای، در بالاترین سطح امتیاز ویندوز (Ring 0) اجرا می‌شوند و دسترسی کاملی به استخراج اطلاعات محرمانه، ماندگاری مخفیانه و توانایی خاتمه دادن به تقریبا هر فرآیندی را، فراهم می‌کنند.

حتی اگر دستگاه آسیب دیده، دارای ابزارهای امنیتی باشد، درایور کرنل می‌تواند با ایجاد اختلال در عملکرد آن‌ها، قابلیت‌های پیشرفته حفاظتی را غیر فعال کنند یا با تغییرات پیکربندی سیستم هدف، شناسایی نشوند.

مایکروسافت، در ویندوز ویستا با ایجاد تغییراتی در سیاست‌های خود، نحوه بارگذاری درایوهای کرنل را در سیستم عامل محدود کرد. به واسطه این تغییرات، توسعه دهندگان ملزم به ارسال درایو‌ها برای بررسی و امضا در پروتال توسعه دهندگان مایکروسافت هستند.

با این وجود، مایکروسافت به منظور جلوگیری از مشکلات ناشی از برنامه‌های قدیمی‌تر، استثنائات زیر را معرفی کرد که اجازه بارگذاری درایور‌های کرنل را می‌دهد:

  • Pc‌ که از نسخه قبلی ویندوز به ویندوز 10 ورژن 1607، ارتقا یافته است.
  • خاموش بودن Secure Boot در BIOS.
  • درایورها توسط یک گواهی صادر شده قبل از تاریخ 29 ژانویه 2015، امضا شده باشند و توسط CA پشتیبانی شوند.

  بر اساس گزارش جدید Cisco Talos، هکرهای چینی با استفاده از دو ابزار منبع باز “HookSignTool” و ” FuckCertVerify” از استثنا سوم سواستفاده می‌کنند و تاریخ امضای درایورهای مخرب کرنل را به قبل از 29 جولای 2015 تغییر می‌دهند. با این تغییر تاریخ امضا، آن‌ها می‌توانند از گواهی‌های قدیمی باطل نشده و درز یافته، برای امضا درایور‌های خود و سپس بارگذاری آن‌ها در ویندوز استفاده کنند.

ابزارهایHookSignTool  و  FuckCertVerify

HookSignTool، یک ابزار با ویژگی‌های فراوان است که در سال 2019 توسط یک انجمن کرک نرم افزار چینی منتشر شد. این ابزار با استفاده از API ویندوز و ابزار امضای قانونی کد، درایورهای مخرب را امضا می‌کند. این ابزار از کتابخانه Microsoft Detours برای رهگیری و نظارت بر تماس‌های Win32 API و سفارشی سازی تابع «CertVerifyTimeValidity» با نام “NewCertVerifyTimeValidity” استفاده می‌کند و تاریخ‌های نامعتبر را تایید می‌کند.

HackSignTool ، با استفاده از “JemmyLoveJenny EV Root CA certificate” درایورهایی را که از نظر تاریخی معتبر نیستند را امضا می‌کند.

لازم به ذکر است که امضا جعلی این گواهی قابل شناسایی است و در نتیجه امکان تشخیص درایورهایی که با HookSignTool امضا شده‌اند، وجود دراد.

در گزارش دیگری از Cisco Talos، یک نمونه واقعی از درایور مخرب به نام «RedDriver» که توسط HookSignTool امضا شده است، به طور کامل بررسی شده است.

RedDriver، مرورگرها را هک می‌کند و با هدف قرار دادن Chrome، Edge، Firefox و بسیاری از مرورگرهای محبوب چینی، ترافیک آن‌ها را رهگیری می‌کند.

یکی دیگر از ابزار مورد استفاده هکرها برای تغییر مهرزمانی امضای درایورهای مخرب کرنل FuckCertVerify است. این ابزار در ابتدا دسامبر 2018 در GitHub به عنوان ابزاری برای تقلب در بازی در دسترس قرار گرفت.

طبق گفته FuckCertVerifyTimeValidity

Cisco Talos، مشابه HookSignTool عمل می‌کند. در واقع این ابزار با استفاده از پکیج Detours مایکروسافت برای اتصال به تماس API ” CertVerifyTimeValidity”، مهر زمانی را به صورت انتخابی تغییر می‌دهد.

اما تشخیص جعلی بودن امضای FuckCertVerifyTimeValidity برخلاف HookSignTool بسیار دشوار است. هر دو این ابزارها به گواهی‌های امضا شده و ابطال نشده با تاریخ پیش از 29 ژانویه 2015، کلید خصوصی و رمز عبور نیاز دارند.

طبق بررسی کارشناسان سیسکو، بیش از ده‌ها گواهی در GitHub و انجمن‌های چینی وجود دارد که توسط این ابزار‌ها با دور زدن DRM و درایورهای کرنل، برای کرک بازی‌ها استفاده می‌شوند.

  • اگر نیاز به خدمات امنیت و پشتیبانی شبکه، تنظیم تجهیزات شبکه، راه اندازی ویپ، مجازی سازی سرور و سایر سرویس های شبکه دارید؛ می‌‎توانید از کارشناسان مجموعه هنر توسعه و ارتباطات شایگان کمک بگیرید.

مایکروسافت گواهی‌ها را باطل می‌کند!

با ارائه گزارش‌های مشابه توسط Sophos و Trend Micro مبنی بر این سواستفاده هکرها، مایکروسافت، گواهینامه‌های مرتبط را باطل کرد. همچنین حساب‌های توسعه‌دهندگانی که از این خلا سیاست ویندوز سوء استفاده می‌کردند، به حالت تعلیق در خواهد آمد.

طبق گزارش Sophos،  بیش از صد درایور مخرب کرنل شناسایی شده است که به عنوان EDR Killers برای محدود کردن نرم افزارهای امنیتی استفاده می‌شوند. از این دایورها، می‌توان برای پایان دادن به هر نرم افزاری، از جمله فرآیندهای آنتی ویروس استفاده کرد.

مایکروسافت، این درایورها را به عنوان بخشی از به روز رسانی خود درWindows Driver.STL  لغو کرده است. اگرچه گواهی‌های کشف شده توسط Cisco و Sophos اکنون باطل شده‌اند اما خطر از بین نرفته است؛ زیرا احتمالا گواهی‌های زیادی در دسترس هکرها برای سواستفاده از حفره‌های سیاستی ویندوز وجود دارد.

اگر به اخبار و اطلاعات فناوری علاقه‌مند هستید، پیشنهاد می‌کنیم بخش اخبار فناوری از وبلاگ رسمی هنر توسعه و ارتباطات شایگان را دنبال کنید.

منبع: BLEEPINGCOMPUTER

سوالات متداول

ابزارهای مورد استفاده هکرها برای بارگذاری درایوهای مخرب کرنل کدام هستند؟

هکرها با استفاده از دو ابزار منبع باز “HookSignTool” و ” FuckCertVerify” مهر زمانی دایورهای مخرب را به قبل از 29 جولای 2015 تغییر می‌دهند.

آیا تغییر مهر زمانی دایورهای کرنل توسط “HookSignTool” و ” FuckCertVerify” قابل تشخیص است؟

تشخیص دایور‌های که با HookSignTool امضا می‌شوند وجود دارد؛ اما تشخیص جعلی بودن امضای FuckCertVerifyTimeValidity دشوارتر است.

جدیدتر تولید محصولات سیسکو در هند
بازگشت به لیست
قدیمی تر با مینی PC‌ های اینتل خداحافظی کنید!