微软正在调查分发恶意 Netfilter 的驱动程序

微软正在调查一起攻击，攻击者使用由该公司签名的驱动程序 Netfilter 驱动程序植入 Rootkit。

微软宣布正在调查一名威胁行为者在针对中国游戏行业的攻击中分发恶意驱动程序。该参与者提交了由第三方构建的驱动程序，以通过 Windows 硬件兼容性计划 (WHCP) 进行认证。这家 IT 巨头签署的其中一个驱动程序名为 Netfilter，是在连接到中国的 C2 时发现的恶意 Windows rootkit。

这家 IT 巨头指出，其 WHCP 签名证书没有暴露，其基础设施也没有受到黑客的破坏。

据专家介绍，攻击者使用恶意驱动程序来欺骗他们的地理位置来欺骗系统并从任何地方玩游戏。该恶意软件允许攻击者在游戏中获得优势，并可能使用键盘记录器等常用工具接管其他玩家的帐户。

“重要的是要了解这次攻击中使用的技术是在利用后发生的，这意味着攻击者必须已经获得管理权限才能运行安装程序来更新注册表并在下次系统启动时安装恶意驱动程序或说服用户代表他们这样做。” 阅读Microsoft 安全响应中心 (MSRC) 发布的帖子。

恶意签名驱动程序是由网络安全公司 G Data 的恶意软件分析师 Karsten Hahn 发现的，他发布了有关该威胁的技术细节。

“上周，我们的警报系统通知我们可能出现误报，因为我们检测到一个名为“Netfilter”的驱动程序，该驱动程序由 Microsoft 签名。从 Windows Vista 开始，任何在内核模式下运行的代码都需要在公开发布之前进行测试和签名，以确保操作系统的稳定性。默认情况下无法安装没有 Microsoft 证书的驱动程序。” 专家写道。

“在这种情况下，检测结果为真阳性，因此我们将我们的发现转发给了微软，微软立即将恶意软件签名添加到 Windows Defender 中，目前正在进行内部调查。”

Hahn还提供了有关一个细节滴管使用攻击者部署系统上的Netfilter的驱动程序。

dropper 将 Netfilter 放入 %APPDATA%\netfilter.sys，然后创建文件 %TEMP%\c.xalm ，内容如下，并发出命令 regini.exe x.calm 来注册驱动程序。

安装后，驱动程序会尝试连接到 C2 服务器以检索配置信息，它支持多种功能，例如 IP 重定向和自我更新功能。

“恶意软件的核心功能是它的 IP 重定向。目标 IP 地址列表被重定向到45(.)248.10.244:3000。这些 IP 地址以及重定向目标是从hxxp://110.42.4.180:2081/s 获取的。” 专家补充道。

“研究人员 @jaydinbas在这条推文中反转了重定向配置，并在pastebin 中提供了最新的解码配置 。”

VirusTotal 上上传的旧版 Netfilter 样本可追溯到 2021 年 3 月 17 日。

Microsoft 已暂停用于提交驱动程序的帐户，并审查其提交的其他恶意软件指标。

Micorsoft 还分享了此次攻击的妥协指标 (IoC)。