[资安人文章分享] Sophos : 已有数位凭证签章的恶意驱动程式可攻陷EDR后发动勒索软体攻击

Sophos揭露在经由合法数位凭证签章的多个驱动程式中发现恶意程式码。最新报告《已签章的恶意驱动程式在软体信任链中向上移动》详细介绍了这个调查结果。在本次勒索软体攻击中，攻击者使用了一个取得 Microsoft 合法 Windows Hardware Compatibility Publisher 数位凭证签章的恶意驱动程式。该恶意驱动程式专门锁定主要端点侦测和回应 (EDR) 软体套件使用的处理程序，并由和 Cuba 勒索软体附属组织有关的恶意软体进行安装。该集团动作频频，过去一年成功攻击了全球一百多家公司。Sophos Rapid Response 成功阻止了这次攻击，调查成果还促成了 Sophos 和 Microsoft 之间的全面合作，以采取行动并解决威胁。

这些驱动程式可以在系统上执行高权限的作业。例如，核心模式驱动程式可以终止许多类型的软体，包括安全软体。控制哪些驱动程式可以载入是保护电脑防范此类攻击的一种方法。Windows 要求驱动程式在允许载入之前需先取得加密签章—一个「核准签章」。

但是，并非所有用来签署驱动程式的数位凭证都受到同等的信任。一些被窃并外泄到网际网路上的数位签章凭证后来都被滥用于签章恶意软体；甚至还有其他凭证已经被不法的 PUA 软体发行商购买和使用。在勒索软体攻击期间，Sophos 对破坏端点安全工具的恶意驱动程式的调查显示，恶意份子一直群策群力，逐步从不太常见的信任数位凭证转移到更广泛受到信任的数位凭证。

Sophos 威胁研究资深经理 Christopher Budd 表示：「这些攻击者很可能就是 Cuba 勒索软体组织的分支，他们知道自己在做什么，而且很顽固。我们总共发现了 10 个恶意驱动程式，都是最初版本的变种。这些驱动程式显示骇客群策群力想要提高在信任链的地位，最旧的驱动程式至少可以追溯到今年 7 月。我们发现的最旧凭证是由不知名的中国公司签发的；然后骇客继续推进，使用一个外流但已经被撤销的 NVIDIA 凭证来签署驱动程式。现在，他们使用的是 Microsoft 的凭证。Microsoft 是 Windows 生态系统中最受信任的权威机构之一。用公司安全来比喻，攻击者基本上已经取得有效的公司 ID，可以毫无疑问地进入大楼并为所欲为。」    

  
仔细检视勒索软体在攻击中使用的可执行档，可以发现恶意签章的驱动程式是经由载入程式 BURNTCIGAR 的变种下载到目标系统。BURNTCIGAR 是一种已知与 Cuba 勒索软体组织有关的恶意软体。一旦载入程式将驱动程式下载到系统上，主要的端点安全和 EDR 软体套件常用的 186 个不同程式档名都会触发它，然后尝试终止这些处理程序。如果顺利终止，攻击者接著就会部署勒索软体。

Budd 补充道：「到 2022 年，我们看到越来越多勒索软体攻击者试图绕过许多，甚至是大多数主要厂商的 EDR 产品。最常见的技术称为『自带驱动程式』，就是 BlackByte 最近使用的技术，攻击者会利用合法驱动程式中的现有漏洞。从头开始设计一个恶意驱动程式，并让其取得合法机构签章要困难得多。不过一旦成功，那将无往不利，因为驱动程式基本上可以毫无疑问地执行任何处理程序。以这个特定的驱动程式为例，几乎所有 EDR 软体都躲不过攻击；幸运的是，Sophos 的额外防窜改保护将它挡了下来。安全社群需要警觉到这种威胁，在必要时采取额外的安全措施，例如持续监控；更重要的是，我们可能会看到其他攻击者试图模仿这种类型的攻击。」

发现这个驱动程式后，Sophos 立即通知 Microsoft，两家公司共同努力解决了这个问题。Microsoft 已在本周 Patch Tuesday 的安全公告中发布了更多信息。

原文连结：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10250