🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Microsoft firmó un malware en un ataque a la cadena de suministro

Microsoft confirmó la firma de un controlador malicioso que se está distribuyendo en entornos de juegos.

Este controlador, llamado “Netfilter”, es de hecho un rootkit que se observó comunicándose con las direcciones IP chinas de comando y control (C2).

El analista de malware de G Data, Karsten Hahn, se dio cuenta de este evento por primera vez la semana pasada. El decidió investigar detalladamente para rastrear y analizar los controladores maliciosos que han sido firmados por Microsoft.

Este incidente ha vuelto a exponer las amenazas a la seguridad de la cadena de suministro de software. Sin embargo, esta vez se debió a una debilidad en el proceso de firma de código de Microsoft.

El controlador “Netfilter” es un rootkit firmado por Microsoft

La semana pasada, los sistemas de alerta de ciberseguridad de G Data señalaron lo que parecía ser un falso positivo. No obstante, no lo era: era un controlador firmado por Microsoft llamado “Netfilter”.

Los investigadores observaron que el controlador en cuestión se comunicaba con IPs de comando y control (C&C) con sede en China. Es decir, estas IPs no brindaban la funcionalidad legítima y, como tal, generó sospechas.

Fue entonces cuando el analista de malware de G Data, Karsten Hahn, compartió esto públicamente  y se puso en contacto simultáneamente con Microsoft:

El binario malicioso ha sido firmado por Microsoft

“Desde Windows Vista, cualquier código que se ejecute en modo kernel debe probarse y firmarse antes del lanzamiento público para garantizar la estabilidad del sistema operativo”.

“Los controladores sin un certificado de Microsoft no se pueden instalar de forma predeterminada”.  

Karsten Hahn

En ese momento, comenzamos a observar el comportamiento de las URLs C&C y también nos comunicamos con Microsoft para obtener una declaración.

La primera URL C2 devuelve un conjunto de más rutas (URLs) separadas por el símbolo de barra vertical (“|”):

Navegando a la URL C&C encontramos más rutas para diferentes propósitos

Cada uno de estos tiene un propósito, según Hahn:

  • La URL que termina en “/p” está asociada con la configuración del proxy,
  • “/s” proporciona direcciones IP de redireccionamiento codificadas,
  • “/ h?” es para recibir CPU-ID,
  • “/c” proporcionó un certificado raíz y
  • “/v?” está relacionado con la función de actualización automática del malware.

Como lo observamos, por ejemplo, la ruta “/v?”  provee la URL al controlador Netfilter malicioso en cuestión (que reside en “/d3”):

Ruta al controlador malicioso de Netfilter

Análisis

El investigador de G Data pasó un tiempo analizando suficientemente el controlador y concluyó que era un malware.

El investigador ha analizado el controlador, su funcionalidad de actualización automática y los indicadores de compromiso (IOC) en una publicación detallada.

La muestra tiene una rutina de actualización automática que envía su propio hash MD5 al servidor a través de hxxp://110.42.4.180:2081/v?v=6&m=, dice Hahn.

Una solicitud de ejemplo se vería así:

hxxp://110.42.4.180:2081/v?v=6&m=921fa8a5442e9bf3fe727e770cded4ab

A continuación, el servidor responde con la URL de la muestra más reciente, por ejemplo, hxxp://110.42.4.180:2081/d6 o con ‘Aceptar’ si la muestra está actualizada. El malware reemplaza su propio archivo en consecuencia, según explicó el investigador.

Funcionalidad de actualización automática de malware analizada por G Data

Durante el curso de su análisis, a Hahn se unieron otros investigadores de malware, incluidos ohann Aydinbas, Takahiro Haruyama y Florian Roth.

Roth pudo recopilar la lista de muestras en una hoja de cálculo y proporcionó reglas YARA para detectarlas en sus entornos de red.

En particular, la IP C&C 110.42.4.180 a la que se conecta el controlador Netfilter malicioso pertenecía a Ningbo Zhuo Zhi Innovation Network Technology Co., Ltd. Esto según los registros de WHOIS:

Búsqueda de WHOIS para la dirección IP 

Microsoft admite haber firmado el controlador malicioso

Microsoft está investigando activamente este incidente, aunque hasta ahora no hay evidencia de que se hayan utilizado certificados de firma de código robados.

El percance parece haber sido el resultado de que el actor de amenazas siguió el proceso de Microsoft para enviar los controladores Netfilter maliciosos. Y, este logró adquirir el binario firmado por Microsoft de manera legítima:

“Microsoft está investigando a un actor malintencionado que está distribuyendo controladores maliciosos en entornos de juego”.

El actor envió los controladores para su certificación a través del Programa de compatibilidad de hardware de Windows. Los controladores fueron creados por un tercero, afirmó la empresa.

“Hemos suspendido la cuenta y revisado sus envíos en busca de signos adicionales de malware”, dijo Microsoft.

Según Microsoft, el actor de amenazas se ha dirigido principalmente al sector de los juegos específicamente en China con estos controladores maliciosos. Y, hasta el momento no hay indicios de que los entornos empresariales se hayan visto afectados.

Microsoft se ha abstenido de atribuir este incidente a actores estatales por el momento.

Los actores de amenazas sofisticados pueden abusar de los binarios firmados falsamente para facilitar ataques a la cadena de suministro de software a gran escala.

El ataque multifacético de Stuxnet que tuvo como objetivo el programa nuclear de Irán marcó un incidente bien conocido. En ese incidente los atacantes certificados de firma de código de Realtek y JMicron para facilitar el ataque.

Este incidente en particular, sin embargo, ha expuesto debilidades en un proceso de firma de código legítimo. Estas fueron explotadas por los actores de amenazas para adquirir código firmado por Microsoft sin comprometer ningún certificado.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información