أساء المهاجمون استخدام برنامج مطور أجهزة Windows الخاص بشركة Microsoft للحصول على توقيع البرامج الضارة.
أفادت شركات الأمن أن مجموعات قرصنة متعددة تستخدم برامج تشغيل موقعة من شركة Microsoft في سلسلة من الهجمات، بما في ذلك نشر برنامج الفدية الكوبي.
وهذا التطور مهم لأن العديد من الأجهزة الأمنية ستثق ضمنيًا في أي شيء توقعه Microsoft،
خلال تصحيح الثلاثاء لهذا الشهر، قامت Microsoft اعترف تقارير من SentinelOne وMandiant المملوكة لشركة Google وSophos حول جهات التهديد التي تستخدم برنامج تشغيل معتمد من Microsoft برنامج مطور أجهزة ويندوز لنشر البرمجيات الخبيثة المختلفة.
حماية
- 8 عادات للعاملين عن بعد الآمنين للغاية
- كيفية العثور على برامج التجسس وإزالتها من هاتفك
- أفضل خدمات VPN: كيف يمكن مقارنة أفضل 5 خدمات؟
- كيفية معرفة ما إذا كنت متورطًا في عملية اختراق للبيانات - وماذا تفعل بعد ذلك
تم استخدام برنامج التشغيل الضار ولكن الموقع بشكل صحيح من قبل Microsoft في محاولة لإنهاء عوامل الكشف عن نقطة النهاية ومكافحة الفيروسات على الأنظمة المتأثرة من بائعين متعددين. أبلغ البائعون Microsoft عن برنامج التشغيل الخبيث في 19 أكتوبر، وفقًا لعملاق التكنولوجيا.
أيضًا: الأمن السيبراني: هذه هي الأشياء الجديدة التي يجب القلق بشأنها في عام 2023
يتتبع Mandiant برنامج التشغيل الخبيث باسم Poortry والمحمل الخاص به باسم Stonestop. وجد Mandiant أن العديد من عائلات البرامج الضارة تم توقيعها من خلال هذه العملية وتسعة أسماء مؤسسات فريدة مرتبطة بالبرامج الضارة الموقعة.
الحارس وان التقارير تم استخدام السائقين في عمليات التطفل على الاتصالات السلكية واللاسلكية، والاستعانة بمصادر خارجية للعمليات التجارية، الترفيه والنقل ومقدمي خدمات الأمن المدارة والشركات المالية و قطاعات العملة المشفرة. وفي بعض الحالات، تم استخدامه لتقديم خدمات تبديل بطاقة SIM.
"من الجدير بالذكر أن SentinelLabs لاحظت وجود جهة تهديد منفصلة تستخدم أيضًا برنامج تشغيل مماثل موقع من Microsoft، مما أدى إلى نشر Hive "برامج الفدية ضد هدف في الصناعة الطبية، مما يشير إلى استخدام أوسع لهذه التقنية من قبل جهات فاعلة مختلفة لديها إمكانية الوصول إلى أدوات مماثلة." قال.
كان من المفترض أن يكون المهاجم قد مر بمجموعة معقدة من العمليات مع Microsoft والمراجع المصدقة (CAs) من أجل الحصول على برنامج تشغيل موقع من Microsoft.
"المشكلة الرئيسية في هذه العملية هي أن معظم الحلول الأمنية تثق ضمنيًا في أي شيء موقع من Microsoft فقط، وخاصة برامج تشغيل وضع kernel،" يلاحظ SentinelOne.
"بدءًا من نظام التشغيل Windows 10، بدأت Microsoft في المطالبة بتوقيع جميع برامج تشغيل وضع kernel باستخدام بوابة Windows Hardware Developer Center Dashboard." فعلت مايكروسوفت هذا لمكافحة برامج تشغيل وضع kernel، على سبيل المثال بواسطة استغلال نقاط الضعف في برامج تشغيل وضع kernel المشروعة.
إن باحثي Mandiant واثقون جدًا من أنه من أجل توقيع برنامج التشغيل بواسطة Microsoft، حصل المهاجمون بشكل غير قانوني على رمز التحقق الممتد (EV) توقيع الشهادات من CA ثم خضعت لعملية Microsoft الخاصة بتوقيع البرامج الضارة الخاصة بها من قبل Microsoft من خلال توقيع التصديق عملية. يلاحظ SentinelOne أن هناك العديد من النظريات حول من يفعل ذلك. الأول هو أن واحدًا أو أكثر من الموردين السيئين يقدمون عملية توقيع السائق كخدمة؛ Mandiant يدعم نظرية المورد.
مايكروسوفت قال لقد أجرت تحقيقًا وادعت أنها وجدت أن النشاط "كان يقتصر على إساءة استخدام العديد من حسابات برامج المطورين" وأن خدماتها لم تتعرض للخطر.
كما قامت أيضًا بتعليق حسابات البائعين الخاصة بالشركاء، وتنفيذ عمليات اكتشاف الحظر، وإلغاء الشهادة للملفات المتأثرة.
كما يشرح مانديانتبالنسبة لنظامي التشغيل Windows 10 و11 وWindows Server 2022، يمكن لموردي الأجهزة إرسال برامج التشغيل إلى Microsoft من أجل توقيع الشهادة، والذي يتحقق من سلامة حزم برامج التشغيل المقدمة وهوية ناشر البرنامج. يتحقق الناشر من هويته من خلال توقيع حزمة برامج التشغيل الخاصة به بشهادة EV مقدمة من مجموعة صغيرة من المراجع المصدقة.
"تأخذ برامج التشغيل الموقعة على التصديق الثقة الممنوحة لها من قبل المرجع المصدق (CA) وتنقلها إلى ملف ينشأ توقيع رمز المصادقة الخاص به من Microsoft نفسها. نحن نقيّم بثقة عالية أن الجهات الفاعلة التهديدية قد أفسدت هذه العملية باستخدام شهادات توقيع رمز EV التي تم الحصول عليها بشكل غير مشروع إرسال حزم برامج التشغيل من خلال عملية توقيع الشهادة، وفي الواقع يتم توقيع البرامج الضارة الخاصة بها بواسطة Microsoft مباشرةً." Mandiant يقول.
أيضًا: وظائف الأمن السيبراني: خمس طرق لمساعدتك في بناء حياتك المهنية
رمز المصادقة هو تطبيق Microsoft لتوقيع التعليمات البرمجية لثنائيات Windows. يساعد Authenticode بائعي الأجهزة في الحصول على توقيع برامج التشغيل الخاصة بهم عبر برنامج توافق أجهزة Windows.
يتتبع Mandiant المجموعة باستخدام البرامج الضارة الموقعة عبر توقيع الشهادة باسم UNC3944.
"UNC3944 هي مجموعة تهديد ذات دوافع مالية وكانت نشطة منذ مايو 2022 على الأقل وتكتسب عادةً وصولاً أوليًا إلى الشبكة باستخدام بيانات الاعتماد المسروقة التي تم الحصول عليها من عمليات التصيد الاحتيالي عبر الرسائل النصية القصيرة. في بعض الحالات، ركزت أهداف المجموعة بعد الاختراق على الوصول إلى بيانات الاعتماد أو الأنظمة المستخدمة لتمكين بطاقة SIM. يقول: "هجمات التبادل، من المحتمل أن تكون دعمًا للعمليات الإجرامية الثانوية التي تحدث خارج بيئات الضحايا". مانديانت.
ما تعرض للهجوم في هذه الحالة هو نظام الثقة بين بائعي البرامج.
"نظرًا لأن موردي [الكشف عن نقطة النهاية] مجبرون إلى حد ما على الثقة في برامج التشغيل الموقعة بواسطة Microsoft، فقد يكون من الصعب القيام بذلك التمييز بين الأمثلة الحميدة المشروعة وتلك الخبيثة التي تتسلل عبر عمليات التفتيش الأمنية،" يلاحظ SentinelOne.
يقول سوفوس: "تتحرك الجهات الفاعلة في مجال التهديد إلى أعلى هرم الثقة، وتحاول استخدام مفاتيح التشفير الموثوقة بشكل متزايد للتوقيع رقميًا على برامج التشغيل الخاصة بها". التوقيعات من ناشر برامج كبير وجدير بالثقة تزيد من احتمالية تحميل برنامج التشغيل إلى Windows بدونه العوائق، مما يزيد من فرص تمكن مهاجمي برامج الفدية الكوبية من إنهاء العمليات الأمنية التي تحمي أهدافهم. أجهزة الكمبيوتر.
المزيد من مايكروسوفت
- هل يحظى Windows 10 بشعبية كبيرة لمصلحته؟
- أفضل طرازات أجهزة الكمبيوتر المحمول التي تعمل بنظام Windows: مقارنة Dell وSamsung وLenovo والمزيد
- هذا هو السبب في أن أجهزة الكمبيوتر التي تعمل بنظام Windows ستصبح أكثر إزعاجًا
- كيفية الرجوع إلى نظام التشغيل Windows 11 إلى نظام التشغيل Windows 10 (هناك مشكلة)