黑客欺骗微软签名Netfilter驱动程序加载Rootkit恶意软件

微软周五表示，正在调查一起事件，该公司签名的司机是一个恶意的Windows rootkit，被发现与位于中国的命令控制(C2)服务器通信。

据称，这个名为“Netfilter”的司机的目标是游戏环境，特别是在东亚国家。这家总部位于雷德蒙德的公司指出，“参与者的目标是利用司机来欺骗他们的地理位置，从而欺骗系统，在任何地方玩游戏。”

微软安全响应中心(MSRC)表示:“恶意软件使他们能够在游戏中获得优势，并可能通过键盘记录程序等常用工具侵入其他玩家的账户，从而利用他们。”

值得指出的是，Netfilter还指的是一种合法的软件包，它为基于Linux的系统提供包过滤和网络地址转换。

微软称该恶意软件为“Retliften”，意指“netfilter”，但拼写是反的，添加恶意驱动程序可以拦截网络流量，添加新的根证书，设置新的代理服务器，并在未经用户同意的情况下修改互联网设置。

德国网络安全公司G Data的恶意软件分析师卡斯滕·哈恩(Karsten Hahn)发现了这个恶意代码签名，他分享了这个rootkit的更多细节，包括一个用于在该系统上部署和安装Netfilter的发射器。

在成功安装后，发现驱动程序与C2服务器建立连接，以检索配置信息，这提供了许多功能，如IP重定向，以及其他功能，以接收根证书，甚至自我更新恶意软件。

哈恩说，在VirusTotal上检测到的最古老的Netfilter样本可以追溯到2021年3月17日。

微软注意到，参与者通过Windows硬件兼容性计划(WHCP)提交了驱动程序的认证，并且驱动程序是由第三方构建的。该公司随后暂停了该账户，并查看了其提交的其他恶意软件迹象。

窗户制造商还强调,袭击发生post-exploitation中使用的技术,这需要对手必须曾获得管理权限,可以安装驱动程序在系统启动或诱骗用户这么做。

此外，微软表示，它打算完善其合作伙伴访问政策，以及验证和签署过程，以进一步加强保护。

“安全景观持续快速发展威胁演员找到新的和创新的方法来获得环境大范围的向量,“MSRC说,再次强调信任与司机签订有关如何利用供应链演员促进大型软件攻击的威胁。