Actus

Des pilotes Windows malveillants signés par Microsoft utilisés dans des attaques de ransomware

Par Philippe Ternision , le 14 décembre 2022 , mis à jour le 14 décembre 2022 - 7 minutes de lecture
windows defender
Notez l'article

À la suite de l’utilisation de pilotes signés par l’intermédiaire de leurs profils dans des piratages, y compris des cas de ransomware, Microsoft a interdit de nombreux comptes de développeurs de matériel Microsoft.

L’information a été publiée conjointement par Microsoft, Mandiant, Sophos et SentinelOne. Les chercheurs affirment que des pilotes matériels malveillants en mode noyau, approuvés par les signatures Authenticode du Windows Hardware Developer Program de Microsoft, sont utilisés par des acteurs de la menace.

“Les pilotes approuvés par le Windows Hardware Developer Program de Microsoft étaient utilisés de manière malveillante dans un comportement post-exploitation, selon les informations fournies à Microsoft. Avant d’utiliser les pilotes dans ces attaques, l’attaquant avait déjà obtenu des droits d’administration sur les systèmes compromis” explique l’avis de Microsoft.

“Le 19 octobre 2022, SentinelOne, Mandiant et Sophos nous ont alertés de cette activité. Nous avons alors mené une enquête sur ces activités. ”

“Cette enquête a montré que de nombreux comptes de développeurs du Microsoft Partner Center étaient impliqués dans la soumission de pilotes malveillants pour obtenir une signature Microsoft”, peut-on lire dans le rapport.

“Début octobre 2022, une nouvelle tentative de soumettre un pilote malveillant pour obtenir une signature a entraîné la suspension des comptes des fournisseurs.”

Signature des pilotes en mode noyau

Les pilotes matériels qui sont chargés en mode noyau dans Windows ont le plus de privilèges à leur disposition.

Ces droits peuvent donner à un pilote la possibilité d’effectuer un certain nombre d’actions destructives qui ne sont souvent pas autorisées pour les applications en mode utilisateur. Parmi ces actions, citons la désactivation de logiciels de sécurité, l’effacement de fichiers protégés et le fonctionnement en tant que rootkits pour dissimuler d’autres programmes.

Les pilotes matériels en mode noyau doivent être signés par le biais du programme de développement de matériel Windows à partir de Windows 10.

De nombreuses plateformes de sécurité font automatiquement confiance au code signé par Microsoft dans le cadre de ce programme, car les auteurs doivent acheter un certificat de validation étendue (EV), passer par un processus d’identification et faire examiner leurs pilotes par Microsoft.

C’est ce qui rend la capacité de Microsoft à signer un pilote en mode noyau si précieuse pour une utilisation dans le cadre de campagnes malveillantes.

Signing a driver via the Windows Hardware Compatibility Program
Signature d’un pilote via le programme de compatibilité matérielle de Windows
Source : Mandiant

Boîte à outils utilisée pour mettre fin aux logiciels de sécurité

Des chercheurs décrivent comment ils ont découvert une nouvelle boîte à outils utilisée dans les attaques de type “bring your own vulnerable driver” (BYOVD), qui se compose de deux parties appelées STONESTOP (chargeur) et POORTRY (pilote en mode noyau).

Selon Mandiant et SentinelOne, STONESTOP est une application en mode utilisateur qui tente de tuer les processus des logiciels de sécurité des points finaux sur un périphérique. La capacité à supprimer et à réécrire des fichiers est une autre variante.

Le pilote en mode noyau POORTRY signé par Microsoft est chargé par STONESTOP pour mettre fin à tout processus protégé ou service Windows connecté, car les processus de logiciels de sécurité sont souvent protégés contre toute modification par des applications ordinaires.

Selon l’analyse de SentinelLabs, “STONESTOP sert à la fois de chargeur/installateur pour POORTRY et d’orchestrateur pour commander au pilote les étapes à exécuter.”

POORTRY driver signed by Microsoft
Pilote POORTRY signé par Microsoft
Source : BleepingComputer

Lié aux ransomwares et aux échangeurs de cartes SIM

Les trois entreprises ont observé que divers acteurs de la menace utilisaient cette boîte à outils.

Avant que la charge utile finale ne puisse être distribuée, une attaque a été stoppée lors d’un engagement de réponse aux incidents par l’équipe de réponse rapide de Sophos.

Mais Sophos, qui avait déjà utilisé une variante d’un malware similaire, a établi un lien “très fiable” entre cette attaque et le ransomware de Cuba.

Selon les cas examinés par Sophos, les acteurs de la menace liés au ransomware de Cuba ont utilisé l’outil de chargement BURNTCIGAR pour installer un pilote malveillant signé avec un certificat Microsoft.

SentinelOne a également observé des attaques contre des entreprises de téléphonie, BPO, MSSP et de services financiers utilisant cette boîte à outils signée Microsoft. Ils ont observé son application dans un cas par l’opération Hive Ransomware contre une société médicale.

Le déploiement du ransomware Hive contre une cible dans le domaine médical a été causé par un acteur de la menace différent utilisant un pilote signé Microsoft similaire, comme l’ont noté les SentinelLabs. Cela indique une utilisation plus large de cette technique par d’autres acteurs ayant accès à un outillage identique.

De l’autre côté, Mandiant a observé qu’un acteur de la menace connu sous le nom de UNC3944, connu pour ses attaques par échange de cartes SIM, utilisait la boîte à outils dans des attaques dès août 2022.

” UNC3944 a été vu par Mandiant comme utilisant un malware dont la signature a été attestée. À l’aide d’informations d’identification volées obtenues par des opérations de phishing par SMS, l’organisation de menaces à motivation financière UNC3944, active depuis au moins mai 2022, obtient fréquemment un accès initial au réseau. ” Le rapport de Mandiant est complet.

On ne sait pas comment différents groupes de menaces ont obtenu l’accès aux boîtes à outils signées par Microsoft pour les utiliser dans des attaques, étant donné que plusieurs groupes de menaces utilisent les pilotes signés.

Mandiant et SentinelOne pensent tous deux qu’un fournisseur ou un service auquel d’autres acteurs de la menace paient pour accéder est à l’origine de la boîte à outils, ou à tout le moins de la signature du code.

“Le fait que les pilotes aient des fonctionnalités et une conception comparables donne un poids supplémentaire à la théorie du “fournisseur”. Ils fonctionnent de manière presque identique bien qu’ils soient utilisés par deux acteurs de la menace distincts. Cela suggère qu’ils ont pu être créés par la même personne et ensuite vendus à un autre utilisateur.” Sentinel One

Les noms de sociétés suivants ont été utilisés pour signer les soumissions de pilotes à Microsoft, selon Mandiant.

Qi Lijun
Luck Bigger Technology Co., Ltd
XinSing Network Service Co., Ltd
Hangzhou Shunwang Technology Co.,Ltd
Fuzhou Superman
Beijing Hongdao Changxing International Trade Co., Ltd.
Fujian Altron Interactive Entertainment Technology Co., Ltd.
Xiamen Hengxin Excellence Network Technology Co., Ltd.
Dalian Zongmeng Network Technology Co., Ltd.

La réponse de Microsoft

Microsoft a déjà suspendu les comptes utilisés pour soumettre les pilotes à la signature et a publié des mises à jour de sécurité pour annuler les certificats utilisés par les fichiers malveillants.

De plus, de nouvelles signatures Microsoft Defender (1.377.987.0) ont été mises à disposition pour aider à contrer les attaques post-exploitation en repérant les pilotes légitimement signés.

Microsoft a déclaré qu’elle travaillait avec les partenaires du programme Microsoft Active Protections (MAPP) pour créer d’autres détections et améliorer la protection des clients.

Le centre de partenaires Microsoft se concentre également sur des solutions à long terme pour faire face à ces activités commerciales malhonnêtes et mettre fin aux dommages potentiels causés aux clients.

Microsoft n’a pas encore révélé comment les pilotes malveillants ont pu passer le processus d’inspection initial.

Lorsque BleepingComputer a contacté Microsoft pour obtenir plus d’informations sur le processus de consultation et d’examen, Microsoft a répondu qu’elle n’avait rien d’autre à divulguer.

  • Microsoft Surface Pro Type Cover with Fingerprint ID - clavier - avec trackpad, accéléromètre - Espagnol - noir
    Vous pouvez maintenant vous connecter en toute sécurité d'un simple geste.<br/>Les longs mots de passe relèvent maintenant du passé, passez d'un utilisateur à l'autre rapidement avec l'identification biométrique.<br/>Le clavier Type Cover de Surface Pro vous permet d'utiliser Windows Hello sur n'importe quel appareil Surface Pro.<br/><br/>Le clavier Type Cover pour Surface Pro entièrement redéfini comporte des touches parfaitement espacées garantissant une frappe rapide et fluide, un plus grand pavé tactile en verre qui prend en charge les mouvements et l'interface tactile 5 points, ainsi qu'une charnière magnétique assurant une frappe stabilisée.<br/>Travaillez n'importe où avec ce clavier d'ordinateur portable complet. - Offre exclusivement réservée aux professionnels
  • Microsoft Surface Pro Type Cover with Fingerprint ID - clavier - avec trackpad, accéléromètre - AZERTY - Français - noir
    Vous pouvez maintenant vous connecter en toute sécurité d'un simple geste.<br/>Les longs mots de passe relèvent maintenant du passé, passez d'un utilisateur à l'autre rapidement avec l'identification biométrique.<br/>Le clavier Type Cover de Surface Pro vous permet d'utiliser Windows Hello sur n'importe quel appareil Surface Pro.<br/><br/>Le clavier Type Cover pour Surface Pro entièrement redéfini comporte des touches parfaitement espacées garantissant une frappe rapide et fluide, un plus grand pavé tactile en verre qui prend en charge les mouvements et l'interface tactile 5 points, ainsi qu'une charnière magnétique assurant une frappe stabilisée.<br/>Travaillez n'importe où avec ce clavier d'ordinateur portable complet. - Offre exclusivement réservée aux professionnels
  • Microsoft Surface Pro Type Cover with Fingerprint ID - clavier - avec trackpad, accéléromètre - AZERTY - Français - noir
    Vous pouvez maintenant vous connecter en toute sécurité d'un simple geste.<br/>Les longs mots de passe relèvent maintenant du passé, passez d'un utilisateur à l'autre rapidement avec l'identification biométrique.<br/>Le clavier Type Cover de Surface Pro vous permet d'utiliser Windows Hello sur n'importe quel appareil Surface Pro.<br/><br/>Le clavier Type Cover pour Surface Pro entièrement redéfini comporte des touches parfaitement espacées garantissant une frappe rapide et fluide, un plus grand pavé tactile en verre qui prend en charge les mouvements et l'interface tactile 5 points, ainsi qu'une charnière magnétique assurant une frappe stabilisée.<br/>Travaillez n'importe où avec ce clavier d'ordinateur portable complet. - Offre exclusivement réservée aux professionnels
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.