Trend Micro предупреждает о росте числа атак с использованием подписанных драйверов Windows

Artifact · #1 04-14-2025, 09:14 PM

Как организации могут защитить свои сертификаты от кражи и использования хакерами?
В конце декабря 2022 года компании Mandiant , Sophos и Sentinel One сообщили о том, что несколько аккаунтов разработчиков аппаратного обеспечения Microsoft были использованы для подписи вредоносных драйверов ядра Windows. Эти драйверы применялись в различных кибератаках, в том числе с использованием вымогательского ПО. Позже Microsoft отозвала эти аккаунты, чтобы прервать цепочку атак, но ущерба хакеры успели нанести немало.
В феврале 2023 года эксперты Trend Micro обнаружили новый случай применения подписанного драйвера в атаке с вымогательским ПО BlackCat. Этот драйвер имел сходство с раскрытыми ранее, и использовался злоумышленниками для обхода защитных механизмов на заражённых компьютерах.
Злоумышленники используют разные способы для подписи своих вредоносных драйверов: обычно они злоупотребляют порталами Microsoft для подписи модулей ядра, а также используют утекшие и украденные сертификаты. Trend Micro продолжает мониторить злоупотребление подписанными драйверами и связанными с ними инструментами, тактиками и процедурами.
«Подписанные драйверы являются частью стратегии злоумышленников по получению привилегированного доступа к операционной системе Windows. Они позволяют скрыть вредоносный код от инструментов безопасности и обойти защиту на уровне пользователей и процессов. Поэтому мы считаем, что такие угрозы не исчезнут из арсенала злоумышленников в ближайшее время», — сообщают исследователи Trend Micro.
«Злоумышленники, вероятно, и дальше будут продолжать использовать руткиты для сокрытия вредоносного кода от инструментов безопасности, нарушения защиты и незаметного пребывания в системе жертвы на протяжении длительного времени», — добавили специалисты.
Подобные руткиты активно применяются группировками киберпреступников, имеющих как навыки реверс-инжиниринга низкоуровневых системных компонентов, так и необходимые ресурсы для его выполнения. Основная опасность, связанная с этими руткитами, заключается в их способности скрывать сложные целевые атаки, которые обычно используются на ранних этапах компрометации, позволяя злоумышленнику нарушить защиту организации до того, как будут запущены финальные полезные нагрузки.
Для организаций компрометация сертификатов представляет не только угрозу безопасности. Она также может привести к потере репутации и доверия к оригинальному подписанному программному обеспечению. Именно поэтому компании должны стремиться всеми силами защищать свои сертификаты, реализуя лучшие практики безопасности для снижения риска несанкционированного доступа.
Применение надёжных паролей и многофакторных методов аутентификации также может помочь защитить сертификаты от кражи или компрометации злоумышленниками. Кроме того, использование отдельных сертификатов для тестовой подписи (для предварительного кода, используемого в тестовых средах) минимизирует шансы того, что действительные сертификаты подписи будут использованы в атаке.
Лишь приняв многоаспектный подход к обеспечению безопасности конечных точек, электронной почты и внутренних сетей, организации смогут эффективно защищаться от вредоносных элементов и подозрительной активности, включающей атаки с вымогательским ПО.