Sophos : 已有數位憑證簽章的惡意驅動程式可攻陷EDR後發動勒索軟體攻擊

Sophos揭露在經由合法數位憑證簽章的多個驅動程式中發現惡意程式碼。最新報告《已簽章的惡意驅動程式在軟體信任鏈中向上移動》詳細介紹了這個調查結果。在本次勒索軟體攻擊中，攻擊者使用了一個取得 Microsoft 合法 Windows Hardware Compatibility Publisher 數位憑證簽章的惡意驅動程式。該惡意驅動程式專門鎖定主要端點偵測和回應 (EDR) 軟體套件使用的處理程序，並由和 Cuba 勒索軟體附屬組織有關的惡意軟體進行安裝。該集團動作頻頻，過去一年成功攻擊了全球一百多家公司。Sophos Rapid Response 成功阻止了這次攻擊，調查成果還促成了 Sophos 和 Microsoft 之間的全面合作，以採取行動並解決威脅。

這些驅動程式可以在系統上執行高權限的作業。例如，核心模式驅動程式可以終止許多類型的軟體，包括安全軟體。控制哪些驅動程式可以載入是保護電腦防範此類攻擊的一種方法。Windows 要求驅動程式在允許載入之前需先取得加密簽章—一個「核准簽章」。

但是，並非所有用來簽署驅動程式的數位憑證都受到同等的信任。一些被竊並外洩到網際網路上的數位簽章憑證後來都被濫用於簽章惡意軟體；甚至還有其他憑證已經被不法的 PUA 軟體發行商購買和使用。在勒索軟體攻擊期間，Sophos 對破壞端點安全工具的惡意驅動程式的調查顯示，惡意份子一直群策群力，逐步從不太常見的信任數位憑證轉移到更廣泛受到信任的數位憑證。

Sophos 威脅研究資深經理 Christopher Budd 表示：「這些攻擊者很可能就是 Cuba 勒索軟體組織的分支，他們知道自己在做什麼，而且很頑固。我們總共發現了 10 個惡意驅動程式，都是最初版本的變種。這些驅動程式顯示駭客群策群力想要提高在信任鏈的地位，最舊的驅動程式至少可以追溯到今年 7 月。我們發現的最舊憑證是由不知名的中國公司簽發的；然後駭客繼續推進，使用一個外流但已經被撤銷的 NVIDIA 憑證來簽署驅動程式。現在，他們使用的是 Microsoft 的憑證。Microsoft 是 Windows 生態系統中最受信任的權威機構之一。用公司安全來比喻，攻擊者基本上已經取得有效的公司 ID，可以毫無疑問地進入大樓並為所欲為。」    
  
仔細檢視勒索軟體在攻擊中使用的可執行檔，可以發現惡意簽章的驅動程式是經由載入程式 BURNTCIGAR 的變種下載到目標系統。BURNTCIGAR 是一種已知與 Cuba 勒索軟體組織有關的惡意軟體。一旦載入程式將驅動程式下載到系統上，主要的端點安全和 EDR 軟體套件常用的 186 個不同程式檔名都會觸發它，然後嘗試終止這些處理程序。如果順利終止，攻擊者接著就會部署勒索軟體。

Budd 補充道：「到 2022 年，我們看到越來越多勒索軟體攻擊者試圖繞過許多，甚至是大多數主要廠商的 EDR 產品。最常見的技術稱為『自帶驅動程式』，就是 BlackByte 最近使用的技術，攻擊者會利用合法驅動程式中的現有漏洞。從頭開始設計一個惡意驅動程式，並讓其取得合法機構簽章要困難得多。不過一旦成功，那將無往不利，因為驅動程式基本上可以毫無疑問地執行任何處理程序。以這個特定的驅動程式為例，幾乎所有 EDR 軟體都躲不過攻擊；幸運的是，Sophos 的額外防竄改保護將它擋了下來。安全社群需要警覺到這種威脅，在必要時採取額外的安全措施，例如持續監控；更重要的是，我們可能會看到其他攻擊者試圖模仿這種類型的攻擊。」

發現這個驅動程式後，Sophos 立即通知 Microsoft，兩家公司共同努力解決了這個問題。Microsoft 已在本週 Patch Tuesday 的安全公告中發布了更多資訊。