Sophos uzmanları, Microsoft Windows Hardware Compatibility Publisher (WHCP) tarafından imzalanmış 100 kötü amaçlı sürücü keşfetti. Çoğu, kurbanların sistemlerindeki çeşitli EDR/AV yazılımlarına saldırmak ve bunları sonlandırmak için özel olarak tasarlanmış sözde "EDR katilleri"dir.
Sophos X-Ops, meşru dijital sertifikalarla imzalanmış 133 kötü niyetli sürücü tespit etti; Bunlardan 100 tanesi Microsoft Windows Hardware Compatibility Publisher (WHCP) tarafından imzalanmıştır. WHCP imzalı sürücülere her Windows sistemi doğal olarak güvenir ve saldırganların bunları herhangi bir uyarı vermeden yüklemelerine ve ardından neredeyse hiçbir engel olmadan kötü niyetli faaliyetler yürütmelerine olanak tanır.
Sürücüler EDR ve AV yazılımını felç ediyor
🔎 Kullanılan WHCP sertifikaları 2022 yılının başlarında resmi olarak imzalanmıştır (Resim: Sophos).
Bulunan sürücülerden 81'i, kurbanların sistemlerindeki çeşitli EDR/AV yazılımlarına saldırmak ve bunları sonlandırmak için özel olarak tasarlanmış sözde "EDR katilleri" idi. Bu sürücüler, daha önce Aralık 2022'de Sophos X-Ops tarafından keşfedilenlere benzer. 32 tanesi WHCP tarafından imzalanan geri kalan sürücüler rootkit'lerdi. Bu programların çoğu, İnternet üzerinden gönderilen hassas verileri gizlice izlemek için tasarlanmıştır. X-Ops, kötü amaçlı sürücüleri keşfettikten hemen sonra Microsoft'a bildirdi ve sorunlar en son Salı Yaması ile giderildi.
Soruşturmanın tüm ayrıntıları X—Ops blog makalesinde mevcuttur. Bu gönderi, Sophos, Mandiant ve SentinelOne'ın Microsoft'un birden fazla sürücü imzaladığını bildirdiği Aralık 2022 gönderisinin devamı niteliğindedir. Bu sürücüler özellikle çok çeşitli AV/EDR yazılımlarını hedef aldı.
Aktivitede endişe verici artış
"Geçen yılın Ekim ayından bu yana, fidye yazılımı da dahil olmak üzere çeşitli siber saldırıları gerçekleştirmek için kötü niyetle imzalanmış sürücülerden yararlanan suçluların faaliyetlerinde endişe verici bir artış gözlemledik. O zamanlar, saldırganların bu saldırı vektörünü kullanmaya devam edeceğini varsaymıştık ve bu şimdi gerçek oldu. Sürücüler genellikle işletim sisteminin "çekirdeği" ile iletişim kurduğundan ve bu nedenle güvenlik yazılımından önce yüklendiğinden, kötüye kullanıldıklarında - özellikle de güvenilir bir yetkili tarafından imzalanmışlarsa - güvenlik önlemlerini devre dışı bırakmada özellikle etkili olabilirler.
Tespit ettiğimiz kötü amaçlı sürücülerin çoğu, EDR ürünlerine saldırmak ve 'kapatmak' için özel olarak tasarlanmıştı ve etkilenen sistemleri bir dizi kötü niyetli faaliyete karşı savunmasız bırakıyordu. Kötü amaçlı bir sürücü için imza elde etmek zordur, bu nedenle bu teknik ağırlıklı olarak gelişmiş tehdit aktörleri tarafından hedefli saldırılarda kullanılır. Ayrıca, bu belirli sürücüler satıcıya özel değildir, çok çeşitli EDR yazılımlarını hedefler. Bu nedenle tüm IT güvenlik ekipleri konuyla ilgilenmek ve gerekirse ek koruyucu önlemler almak zorundadır. Sophos X-Ops'ta tehdit araştırma direktörü Christopher Budd, kuruluşların Salı Yaması'nda Microsoft tarafından sağlanan yamaları uygulaması önemlidir.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.