सोफोस विशेषज्ञों ने माइक्रोसॉफ्ट विंडोज हार्डवेयर कम्पैटिबिलिटी पब्लिशर (डब्ल्यूएचसीपी) द्वारा हस्ताक्षरित 100 दुर्भावनापूर्ण ड्राइवरों की खोज की है। अधिकांश तथाकथित "ईडीआर किलर" हैं जो विशेष रूप से पीड़ितों के सिस्टम पर विभिन्न ईडीआर/एवी सॉफ़्टवेयर पर हमला करने और उन्हें समाप्त करने के लिए डिज़ाइन किए गए हैं।
सोफोस एक्स-ऑप्स ने वैध डिजिटल प्रमाणपत्रों के साथ हस्ताक्षरित 133 दुर्भावनापूर्ण ड्राइवरों का पता लगाया है; उनमें से 100 पर Microsoft Windows हार्डवेयर संगतता प्रकाशक (WHCP) द्वारा हस्ताक्षर किए गए थे। डब्ल्यूएचसीपी-हस्ताक्षरित ड्राइवर स्वाभाविक रूप से हर विंडोज सिस्टम पर भरोसा करते हैं, जिससे हमलावरों को बिना किसी चेतावनी के उन्हें स्थापित करने और फिर बिना किसी बाधा के दुर्भावनापूर्ण गतिविधियों को अंजाम देने की अनुमति मिलती है।
ड्राइवर EDR और AV सॉफ़्टवेयर को पंगु बना देते हैं
🔎 उपयोग किए गए WHCP प्रमाणपत्रों पर आधिकारिक तौर पर 2022 की शुरुआत में हस्ताक्षर किए गए थे (छवि: सोफोस)।
पाए गए ड्राइवरों में से 81 तथाकथित "ईडीआर किलर" थे जो विशेष रूप से पीड़ितों के सिस्टम पर विभिन्न ईडीआर/एवी सॉफ़्टवेयर पर हमला करने और उन्हें समाप्त करने के लिए डिज़ाइन किए गए थे। ये ड्राइवर पहले दिसंबर 2022 में सोफोस एक्स-ऑप्स द्वारा खोजे गए ड्राइवरों के समान हैं। शेष ड्राइवर - जिनमें से 32 WHCP द्वारा हस्ताक्षरित थे - रूटकिट थे। इनमें से कई प्रोग्राम इंटरनेट पर भेजे गए संवेदनशील डेटा की गुप्त रूप से निगरानी करने के लिए डिज़ाइन किए गए हैं। एक्स-ऑप्स ने खोजे जाने पर तुरंत माइक्रोसॉफ्ट को दुर्भावनापूर्ण ड्राइवरों की सूचना दी और नवीनतम पैच मंगलवार के साथ समस्याओं को ठीक कर दिया गया।
जांच का पूरा विवरण एक्स-ऑप्स ब्लॉग लेख में उपलब्ध है। यह पोस्ट दिसंबर 2022 की पोस्ट का अनुवर्ती है जहां सोफोस, मैंडिएंट और सेंटिनलवन ने माइक्रोसॉफ्ट द्वारा कई ड्राइवरों पर हस्ताक्षर करने की सूचना दी थी। इन ड्राइवरों ने विशेष रूप से AV/EDR सॉफ़्टवेयर की एक विस्तृत श्रृंखला को लक्षित किया।
चिंता सक्रियता में वृद्धि
"पिछले साल अक्टूबर से, हमने रैंसमवेयर सहित विभिन्न साइबर हमलों को अंजाम देने के लिए दुर्भावनापूर्ण रूप से हस्ताक्षरित ड्राइवरों का शोषण करने वाले अपराधियों की गतिविधि में चिंताजनक वृद्धि देखी है। उस समय, हमने मान लिया था कि हमलावर इस आक्रमण वेक्टर का फायदा उठाना जारी रखेंगे, जो अब सच हो गया है। चूंकि ड्राइवर अक्सर ऑपरेटिंग सिस्टम के 'कोर' के साथ संचार करते हैं और इस प्रकार सुरक्षा सॉफ़्टवेयर से पहले लोड किए जाते हैं, इसलिए दुरुपयोग होने पर वे सुरक्षा उपायों को अक्षम करने में विशेष रूप से प्रभावी हो सकते हैं - खासकर यदि वे किसी विश्वसनीय प्राधिकारी द्वारा हस्ताक्षरित हों।
हमारे द्वारा पहचाने गए कई दुर्भावनापूर्ण ड्राइवर विशेष रूप से ईडीआर उत्पादों पर हमला करने और उन्हें 'बंद' करने के लिए डिज़ाइन किए गए थे, जिससे प्रभावित सिस्टम कई प्रकार की दुर्भावनापूर्ण गतिविधियों के प्रति संवेदनशील हो जाते थे। किसी दुर्भावनापूर्ण ड्राइवर के लिए हस्ताक्षर प्राप्त करना कठिन है, इसलिए इस तकनीक का उपयोग मुख्य रूप से लक्षित हमलों में उन्नत खतरा अभिनेताओं द्वारा किया जाता है। इसके अलावा, ये विशेष ड्राइवर विक्रेता विशिष्ट नहीं हैं, वे EDR सॉफ़्टवेयर की एक विस्तृत श्रृंखला को लक्षित करते हैं। इस कारण से, सभी आईटी सुरक्षा टीमों को विषय से निपटना होगा और यदि आवश्यक हो तो अतिरिक्त सुरक्षात्मक उपाय लागू करना होगा। संगठनों के लिए पैच मंगलवार को माइक्रोसॉफ्ट द्वारा प्रदान किए गए पैच को लागू करना महत्वपूर्ण है, ”सोफोस एक्स-ऑप्स में खतरा अनुसंधान के निदेशक क्रिस्टोफर बड ने कहा।
Sophos.com पर अधिक
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।