1. Обзор
В июне 2024 года компания CheckPoint-Research (CPR) опубликовала отчет о кибератаке, использующей технику Legacy Driver Exploitation. Основная цель злоумышленников — удаленное управление зараженными системами с помощью Gh0stRAT и нанесение дополнительного ущерба.Мошенники распространяли вредоносное ПО через фишинговые сайты и мессенджеры, загружая дополнительные полезные нагрузки методом DLL side-loading. Они использовали модифицированный драйвер TrueSight.sys, чтобы обойти защиту Microsoft, а затем отключали антивирусные программы и системы обнаружения угроз (EDR) для нейтрализации защиты.
2. Техника атаки
Ключевая уязвимость атаки связана с драйвером TrueSight.sys, который является частью инструмента RogueKiller Antirootkit для удаления руткитов от Adlice Software.- Уязвимые версии (≤3.4.0) позволяли принудительно завершать произвольные процессы.
- Злоумышленники использовали AVKiller, чтобы воспользоваться этой уязвимостью.
- Microsoft добавила уязвимые версии TrueSight.sys в черный список драйверов, но версия 2.0.2.0, подписанная до 29 июля 2015 года, избежала блокировки.
- Злоумышленники модифицировали файлы TrueSight.sys 2.0.2.0, используя подмену данных сертификата, чтобы создать несколько вариантов файла.
3. Обход проверки сертификатов
Атака использует технику модификации структуры WIN_CERTIFICATE, которая отвечает за цифровую подпись файла.- Windows не проверяет "пустые" (padding) области в сертификате, чем и воспользовались злоумышленники.
- Файл остается подписанным и кажется легитимным, несмотря на изменения в его содержимом.
Основные этапы обхода:
- Определение местоположения WIN_CERTIFICATE через таблицу сертификатов PE-файла.
- Модификация "пустых" областей WIN_CERTIFICATE без нарушения подписи.
- Проверка сертификата с помощью WinVerifyTrust показывает его подлинность, хотя файл уже изменен.
4. Реакция Microsoft
17 декабря 2024 года Microsoft обновила список уязвимых драйверов, добавив модифицированные версии TrueSight.sys. Это важный шаг для защиты систем от атак, использующих известные уязвимости.5. Связь с уязвимостью CVE-2013-3900
Этот метод атаки связан с CVE-2013-3900, позволяющей изменять размер таблицы аутентификации и заголовок файла, обходя проверку сертификатов.- В 2013 году Microsoft выпустила патч (MS13-098) для строгой проверки сертификатов.
- В 2014 году обновление было отменено из-за проблем совместимости.
- Сейчас пользователи могут включить строгую проверку вручную, добавив в реестр:
32-битная система:
Код:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”164-битная система:
Код:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”1
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] “EnableCertPaddingCheck”=”16. Обнаружение угрозы
Антивирус AhnLab V3 обнаруживает модифицированный TrueSight.sys (2.0.2.0) как Trojan/Win.VulnDriver.R695153 (сигнатура 2025.03.14.03).7. Заключение
Эта атака продемонстрировала новый метод Legacy Driver Exploitation, позволяющий злоумышленникам отключать защиту системы и загружать вредоносное ПО.Рекомендации
Установите последние обновления безопасности Используйте антивирусное ПО с актуальными сигнатурами Настройте строгую проверку сертификатов в Windows Проводите регулярные аудиты безопасности и проверку уязвимостейMD5 хэши зараженных файлов
05c6c1a7f714aee24118b1ed5471dcfb08778920cbe7ea998fd31db4eb504fe9
097adb6f2627e52746ca2b47839e27aa
12f762403dd2eadd0d4f58c4bd31059c
1889f580de1d9385eb9e81ba6e2b26cb
Дополнительные индикаторы компрометации (IOCs) доступны на AhnLab TIP.
Источник
