Los ciberdelincuentes están explotando cada vez más los procesos legítimos de firma de controladores de Windows para implementar malware sofisticado a nivel de núcleo, con una nueva investigación que revela una tendencia preocupante que ha comprometido más de 620 conductores desde 2020.
Una investigación exhaustiva por parte de los investigadores de seguridad cibernética ha descubierto cómo los actores de amenaza están abusando sistemáticamente del Programa de Compatibilidad de Hardware de Windows de Microsoft (WHCP) y los certificados de validación extendida (EV) para legitimar los controladores de núcleos maliciosos, evitando efectivamente los defensas de seguridad tradicionales y el control de sistemas sin precedentes.
Desde 2020, los investigadores de seguridad han identificado más de 620 conductores maliciosos, más de 80 certificados comprometidos y más de 60 cuentas WHCP asociadas con campañas de actores de amenazas.
La escala representa una escalada significativa en los ataques a nivel de núcleo, con la investigación de inteligencia de amenazas del grupo-IB revelador que aproximadamente el 32% de los controladores maliciosos analizados funcionaron como cargadores, capaces de recuperar cargas secundarias de servidores de comando y control.
El abuso alcanzó su punto máximo en 2022, cuando más de 250 conductores y aproximadamente 34 certificados y cuentas WHCP fueron identificadas como potencialmente comprometidas por los investigadores de seguridad.
Este aumento fue seguido por una disminución posterior, probablemente debido al aumento de los informes de la industria y las medidas de respuesta de Microsoft.
La investigación ha expuesto una próspera economía subterránea para los certificados de firma de código, con certificados EV que se venden por precios que van desde $ 2,000 a $ 6,500 en foros penales.
Estos certificados, que requieren una validación exhaustiva del estado legal de una empresa, se obtienen a través de registros comerciales fraudulentos en lugar del robo de certificados tradicionales.
Múltiples proveedores operan a través de mercados en línea, algunos capaces de entregar certificados en tan solo 2-5 días.
El mercado subterráneo ha cambiado de vender principalmente certificados robados a proporcionar los recién emitidos utilizando identidades falsas de la compañía, lo que hace que la detección sea significativamente más desafiante.
Ataque técnico sofisticación
Los cargadores de núcleo modernos representan una nueva capa de ofuscación en estos ataques. Estos controladores de primera etapa están diseñados para cargar componentes secundarios, incluidos ambos controladores sin firmar que utilizan técnicas reflectantes y controladores firmados oficialmente.
Ejemplos notables incluyen el troyano de banca de blackmoon, que evolucionó para usar el controlador Hugo, un cargador de núcleo firmado que descifra y carga controladores sin firmar de rutas de archivos codificados.
La familia de malware Poortry ha demostrado esta evolución, pasando de un simple desactivador EDR a un limpiaparabrisas EDR con todas las funciones capaz de eliminar archivos de software de seguridad críticos.
Utilizado por grupos de ransomware, incluidos BlackCat, Cuba y Lockbit, Poortry representa la creciente agresión de los ataques a nivel de núcleo.
El análisis revela una concentración significativa de actividad maliciosa que se origina en los actores de amenaza chinos, con la mayoría de los certificados y cuentas de WHCP vinculadas a las empresas chinas basadas en el análisis de metadatos.
La familia Fivesys Rootkit ha sido particularmente activa, dirigida al sector de juegos de China mientras mantiene firmas digitales emitidas por Microsoft.
Los investigadores de seguridad han identificado infraestructura superpuesta entre campañas aparentemente no relacionadas, lo que sugiere esfuerzos coordinados entre múltiples grupos de actores de amenazas utilizando capacidades de firma compartidas.
Microsoft ha implementado varias medidas defensivas, incluida la lista de bloques de controlador vulnerable de Microsoft, habilitada de forma predeterminada en los sistemas Windows 11.
La compañía también ha revocado numerosos certificados y cuentas de desarrolladores suspendidas utilizadas en campañas maliciosas.
Sin embargo, la investigación indica que los mecanismos de validación más fuertes son esenciales, particularmente que requieren procedimientos de verificación más rigurosos para la emisión de certificados EV, incluidas las posibles controles de presencia física para garantizar la legitimidad.
La aparición de proveedores de certificados de controladores subterráneos destaca el ingenio de los actores de amenaza y revela vulnerabilidades críticas en los procesos actuales de firma de controladores, enfatizando la necesidad urgente de medidas de seguridad mejoradas en el ecosistema de certificados digitales.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}