Ciberdelincuentes están usando controladores firmados por Microsoft para realizar ataques de ransomware
Microsoft ha revocado varias cuentas de desarrolladores de hardware de Microsoft. Esto ocurrió después de que los controladores firmados a través de sus perfiles se usaran en ataques cibernéticos, incluidos incidentes de ransomware.
La noticia llega en una divulgación coordinada entre Microsoft, Mandiant, Sophos y SentinelOne. Los investigadores explican que los ciberdelincuentes están utilizando controladores de hardware maliciosos en modo kernel cuya confianza se verificó con las firmas Authenticode del Programa de desarrollo de hardware de Windows de Microsoft.
“Microsoft fue informado de que los controladores certificados por el Programa de desarrollo de hardware de Windows de Microsoft se estaban utilizando maliciosamente en actividades posteriores a la explotación. En estos ataques, el atacante ya había obtenido privilegios administrativos en sistemas comprometidos antes de usar los controladores”.
“Fuimos notificados de esta actividad por SentinelOne, Mandiant y Sophos el 19 de octubre de 2022, y posteriormente llevamos a cabo una investigación sobre esta actividad”.
“Esta investigación reveló que varias cuentas de desarrolladores del Microsoft Partner Center estaban involucradas en el envío de controladores maliciosos para obtener una firma de Microsoft”.
“Un nuevo intento de enviar un controlador malicioso para firmar el 29 de septiembre de 2022 llevó a la suspensión de las cuentas de los vendedores a principios de octubre”.
Microsoft
Firma de controladores en modo kernel
Cuando los controladores de hardware en modo kernel se cargan en Windows, obtienen el nivel de privilegio más alto en el sistema operativo.
Estos permisos podrían permitir que un controlador realice varias tareas maliciosas que normalmente no se permiten para las aplicaciones en modo de usuario. Las acciones incluyen finalizar el software de seguridad, eliminar archivos protegidos y actuar como rootkits para ocultar otros procesos.
Desde Windows 10, Microsoft ha requerido que los controladores de hardware en modo kernel se firmen a través del Programa de desarrollo de hardware de Windows de Microsoft.
Como los desarrolladores necesitan comprar un certificado de validación extendida (EV), pasar por un proceso de identificación y enviar controladores revisados por Microsoft, muchas plataformas de seguridad confían automáticamente en el código firmado por Microsoft a través de este programa.
Por esta razón, la capacidad de firmar un controlador en modo kernel por parte de Microsoft para usarlo en campañas maliciosas es un bien preciado.
Kit de herramientas utilizado para desactivar el software de seguridad
En los informes publicados, los investigadores explican cómo encontraron un nuevo conjunto de herramientas que consta de dos componentes llamados STONESTOP (cargador) y POORTRY (controlador en modo kernel) que se utilizan en los ataques “traiga su propio controlador vulnerable” (BYOVD).
Según Mandiant y SentinelOne, STONESTOP es una aplicación en modo de usuario que intenta finalizar los procesos de software de seguridad de punto final en un dispositivo. Otra variante incluye la capacidad de sobrescribir y eliminar archivos.
Dado que los procesos de software de seguridad suelen estar protegidos contra la manipulación por parte de las aplicaciones normales, STONESTOP carga el controlador en modo kernel POORTRY firmado por Microsoft para finalizar los procesos protegidos asociados o los servicios de Windows.
“STONESTOP funciona como un cargador/instalador para POORTRY, así como un orquestador para instruir al conductor sobre qué acciones realizar”.
Informe de SentinelLabs.
Vinculado a ransomware
Las tres empresas han visto el conjunto de herramientas utilizado por diferentes ciberdelincuentes.
El equipo de respuesta rápida de Sophos finalizó un ataque en un compromiso de respuesta a incidentes antes de que los hackers pudieran distribuir el payload final.
Sin embargo, Sophos ha atribuido este ataque con ‘alta confianza’ a la operación de ransomware Cuba, que anteriormente utilizaba una variante de este malware.
“En incidentes investigados por Sophos, los atacantes vinculados al ransomware Cuba utilizaron la utilidad de carga BURNTCIGAR para instalar un controlador malicioso firmado con el certificado de Microsoft”.
Sophos
SentinelOne también ha visto este kit de herramientas firmado por Microsoft utilizado en ataques contra empresas de telecomunicaciones, BPO, MSSP y servicios financieros. En un caso, fue utilizado por la operación de ransomware Hive contra una empresa de la industria médica.
“En particular, SentinelLabs observó que un ciberdelincuentes separado también utilizaba un controlador similar firmado por Microsoft, lo que resultó en la implementación del ransomware Hive en un objetivo en la industria médica. Esto indica un uso más amplio de esta técnica por parte de varios atacantes con acceso a herramientas similares”.
Investigadores de SentinelLabs.
Mandiant, por otro lado, vio a un grupo identificado como UNC3944 utilizando el conjunto de herramientas en ataques desde agosto de 2022. Este grupo es conocido por los ataques de intercambio de SIM.
“Mandiant ha observado que UNC3944 utiliza malware que se ha firmado a través del proceso de firma de atestación. UNC3944 es un grupo de amenazas motivado financieramente que ha estado activo desde al menos mayo de 2022 y comúnmente obtiene acceso inicial a la red utilizando credenciales robadas obtenidas de operaciones de phishing por SMS“.
Origen de los controladores maliciosos
Dado que numerosos grupos de ciberdelincuentes utilizan los controladores firmados, no está claro cómo obtuvieron acceso a kits de herramientas similares firmados por Microsoft para usar en ataques.
Tanto Mandiant como SentinelOne creen que el conjunto de herramientas, o al menos la firma del código, proviene de un proveedor o un servicio por el que otros ciberdelincuentes pagan para acceder.
“Otra evidencia que respalda la teoría del ‘proveedor’ proviene de la funcionalidad y el diseño similares de los controladores. Si bien fueron utilizados por dos grupos de ciberdelincuentes diferentes, funcionaron de manera muy similar. Esto indica que posiblemente fueron desarrollados por la misma persona y luego vendidos para que los use otra persona”.
Sentinel One.
“Mandiant ha observado previamente escenarios en los que se sospecha que los grupos aprovechan un servicio delictivo común para la firma de código. Este no es un fenómeno nuevo y ha sido documentado por el proyecto Certified Malware de la Universidad de Maryland en 2017. Esto es lo que Mandiant cree que está ocurriendo con estos controladores firmados de atestación sospechosos y muestras firmadas de EV relacionadas”.
Mandiant
Mandiant dice que pudo extraer los siguientes nombres de organizaciones utilizadas para firmar los envíos de controladores a Microsoft.
Qi Lijun
Luck Bigger Technology Co., Ltd
XinSing Network Service Co., Ltd
Hangzhou Shunwang Technology Co.,Ltd
Fuzhou Superman
Beijing Hongdao Changxing International Trade Co., Ltd.
Fujian Altron Interactive Entertainment Technology Co., Ltd.
Xiamen Hengxin Excellence Network Technology Co., Ltd.
Dalian Zongmeng Network Technology Co., Ltd.Respuesta de Microsoft
Microsoft ha publicado actualizaciones de seguridad para revocar los certificados utilizados por los archivos maliciosos y ya ha suspendido las cuentas utilizadas para enviar los controladores a firmar.
También se lanzaron nuevas firmas de Microsoft Defender (1.377.987.0) para detectar controladores firmados legítimos en ataques posteriores a la explotación.
“Microsoft está trabajando con los socios del Programa de Protección Activa de Microsoft (MAPP) para ayudar a desarrollar más detecciones y proteger mejor a nuestros clientes compartidos”.
“Microsoft Partner Center también está trabajando en soluciones a largo plazo para abordar estas prácticas engañosas y evitar futuros impactos en los clientes”.
Microsoft
Sin embargo, Microsoft aún tiene que informar cómo los controladores maliciosos pasaron el proceso de revisión en primer lugar.
Diversos medios se comunicaron con Microsoft con más preguntas sobre el proceso de revisión y asesoramiento, pero Microsoft dijo que no tenían nada más que compartir.
