Cisco Talos descubrió un nueva laguna en la política de Microsoft Windows que permite a un actor de amenazas firmar controladores maliciosos en modo kernel ejecutados por el sistema operativo. El actor de amenazas aprovecha una política de compatibilidad específica de Microsoft para permitir la firma de controladores maliciosos en modo kernel. Entonces el Programa malicioso RedDriverque podría ser desarrollado por un actor de amenazas de habla china, se dirige a los navegadores que se usan principalmente en China.
Los controladores en modo kernel maliciosos representan una amenaza grave en comparación con los controladores en modo usuario. Obtenga más información sobre estos controladores, qué hace el malware RedDriver y a quién se dirige, y cómo mantener su empresa segura.
Salta a:
Por qué los controladores maliciosos en modo kernel son una amenaza grave
Los sistemas operativos Microsoft Windows manejan dos tipos de conductores: controladores en modo usuario y controladores en modo kernel. Estos últimos son mucho más potentes que los controladores en modo usuario por múltiples razones. Controladores en modo kernel:
- Se ejecutan a un nivel bajo en el sistema operativo, lo que las hace más difíciles de detectar que las aplicaciones en modo usuario y permite la ejecución de código con los privilegios más altos.
- Puede permanecer persistente, ejecutándose cada vez que se inicia el sistema operativo.
- Se pueden usar para eludir la seguridad porque tienen acceso directo al hardware y a los componentes del sistema, como firewalls o software antimalware.
- Puede incrustar funcionalidades de rootkit para ocultar su presencia o la presencia de otro software como malware en el sistema.
Microsoft ha implementado medidas para proteger los sistemas y luchar contra la amenaza de controladores maliciosos en modo kernel basados en certificados. Los controladores en modo kernel deben estar firmados digitalmente con un certificado proveniente de un autoridad certificadora verificada. Desde Windows 10 versión 1607 en adelante, Microsoft actualizó la política de firma para dejar de permitir nuevos controladores en modo kernel que no hayan sido enviados y firmados por su Portal para desarrolladores.
La laguna que se está explotando
Para mantener la funcionalidad y la compatibilidad de los controladores más antiguos, Microsoft creó algunas excepciones para los siguientes casos:
- La computadora se actualizó de una versión anterior de Windows a Windows 10 versión 1607.
- El parámetro de arranque seguro está desactivado en el firmware BIOS o UEFI de la computadora.
- Controladores firmados con un certificado de entidad final emitido antes del 29 de julio de 2015 que se encadena a una autoridad de certificación con firma cruzada admitida.
Aquí existe una laguna en la forma en que un controlador recién compilado puede «firmarse con certificados no revocados emitidos antes o vencidos antes del 29 de julio de 2015, siempre que el certificado se encadene a una CA con firma cruzada admitida», según lo escrito por Cisco Talos.
Por lo tanto, varias herramientas de código abierto han comenzado a explotar esta laguna para permitir que los desarrolladores firmen controladores con éxito.
Existen herramientas para ayudar a los desarrolladores a explotar esta laguna en la política de Windows; Cisco Talos menciona Fu**CertVerifyTimeValidity (el nombre real se encuentra en el informe de Cisco Talos) y HookSignTool, los cuales están disponibles de forma gratuita en Internet (Figura A). Fu**CertVerifyTimeValidity está disponible desde 2018 en los foros chinos, mientras que HookSignTool apareció en 2019.
Figura A
Esas herramientas usan el paquete Microsoft Detours, que se creó para monitorear e instrumentar llamadas API en Windows, para pasar un tiempo personalizado en el parámetro «pTimeToVerify», lo que permite verificar un tiempo no válido. El desvío también se usa para cambiar la marca de tiempo de la firma durante la ejecución.
Ambas herramientas necesitan un certificado de firma de código no revocado que haya caducado o se haya emitido antes del 29 de julio de 2015 y su clave privada y contraseña para falsificar correctamente una firma digital. Los investigadores de Cisco Talos encontraron un archivo alojado en GitHub en una bifurcación de una de las herramientas que contenía más de una docena de certificados de firma de código vencidos que se usan con frecuencia con ambas herramientas.
Conozca el malware RedDriver
La cadena de ataque comienza con un solo archivo ejecutable llamado DnfClientShell32.exe que inyecta un recurso DnfClient en un proceso remoto. Luego, DnfClient comienza a comunicarse con el servidor de comando y control (C2) del actor de amenazas para iniciar la descarga de la carga útil de RedDriver. DnfClient también abre un puerto de escucha en localhost (127.0.0.1).
Según Cisco Talos, RedDriver es un controlador de modo kernel malicioso no documentado cuyo nombre proviene del propio binario, como lo nombró su desarrollador en la ruta del archivo del proyecto de compilación. RedDriver se ha firmado con HookSignTool. Los investigadores de Cisco Talos encontraron diferentes versiones del kernel malicioso firmadas con diferentes certificados.
RedDriver, una vez ejecutado, permite el secuestro del navegador basado en una lista codificada de navegadores, muchos de los cuales son populares en China (Figura B). Y agrega un certificado raíz al sistema.
Figura B
RedDriver redirige el tráfico de esos navegadores a 127.0.0.1, pero no está claro por qué. Todavía representa una gran amenaza, ya que RedDriver puede manipular el tráfico del navegador a nivel de paquete mediante el Plataforma de filtrado de Windowsque es un conjunto de API y servicios del sistema que proporciona una plataforma para crear aplicaciones de filtrado de red.
Los investigadores de Cisco Talos encontraron una versión anterior de RedDriver. Esa versión ha estado activa desde al menos 2021 y contenía una lista codificada de nombres pertenecientes a docenas de controladores, “muchos de los cuales pertenecían a software de origen chino” y “centrados en software que se usaría en cibercafés”, según Cisco Talos, que también menciona que no es inusual que los grupos de ciberdelincuentes se dirijan a los cibercafés en China.
Actores de amenazas y víctimas de habla china
Los desarrolladores de RedDriver han dejado varios rastros que indican que son personas de habla china.
Por ejemplo, todos los dominios asociados con RedDriver se encuentran en China. La operación RedDriver involucra código de múltiples herramientas de código abierto que en su mayoría se originan en foros de habla china. Una parte inicial del código de RedDriver se publicó originalmente en un foro chino.
Así como el actor de amenazas RedDriver es probablemente de origen chino, los objetivos de RedDriver son personas de habla china. La lista de navegadores seleccionados y la lista de nombres de controladores seleccionados por RedDriver están relacionados principalmente con el software chino. Los archivos de infección iniciales que comienzan con «Dnf» son probablemente un intento de hacerse pasar por un juego muy popular en China, Dungeon Fighter Online, conocido como DNF.
Cómo proteger su negocio de esta amenaza de ciberseguridad
Cisco Talos informó todos los certificados utilizados por el actor de amenazas a Microsoft. Se actualizó una lista de bloqueo de controladores mantenida dentro de Windows por Microsoft para bloquear todos esos certificados.
La investigación de Cisco Talos no indica el método inicial utilizado para infectar computadoras, que podría ser el compromiso del sitio web, correos electrónicos de phishing u otras técnicas de ingeniería social, por lo que es necesario implementar una higiene general de ciberseguridad.
Para empezar, todos los sistemas operativos, firmware y software deben estar siempre actualizados y parcheados. Esto evitará verse comprometido por vulnerabilidades comunes.
Las soluciones de seguridad deben implementarse para monitorear los puntos finales y las redes en busca de cualquier comportamiento sospechoso. Los archivos adjuntos en los correos electrónicos deben analizarse cuidadosamente.
Finalmente, los empleados deben estar capacitados para detectar fraudes e intentos de infección, especialmente phishing.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
