Malver koristi ukradene sertifikate za potpisivanje NVIDIA koda

Malver koristi ukradene sertifikate za potpisivanje NVIDIA koda

Akteri pretnji koriste ukradene sertifikate za potpisivanje NVIDIA koda da potpišu zlonamerni softver kako bi izgledali pouzdano i omogućili učitavanje zlonamernih drajvera u Vindovs.

Ove nedelje, NVIDIA je potvrdila da je pretrpela sajber napad koji je omogućio akterima pretnji da ukradu akreditive zaposlenih i vlasničke podatke.

Grupa za iznuđivanje, poznata kao Lapsus$, navodi da su ukrali 1TB podataka tokom napada i počeli da cure podatke na mreži nakon što je NVIDIA odbila da pregovara sa njima.

Curenje uključuje dva ukradena sertifikata za potpisivanje koda koje su koristili NVIDIA programeri da potpišu svoje drajvere i izvršne programe.

Sertifikat za potpisivanje koda omogućava programerima da digitalno potpišu izvršne datoteke i drajvere kako bi Vindovs i krajnji korisnici mogli da provere vlasnika datoteke i da li ih je treća strana manipulisala.

Da bi povećao bezbednost u Vindovs-u, Microsoft takođe zahteva da drajveri u režimu jezgra budu potpisani kodom pre nego što ih operativni sistem učita.

NVIDIA sertifikati koji se koriste za potpisivanje zlonamernog softvera

Nakon što je Lapsus$ procurio NVIDIA sertifikate za potpisivanje koda, istraživači bezbednosti su brzo otkrili da se sertifikati koriste za potpisivanje malvera i drugih alata koje koriste akteri pretnji.

Prema uzorcima koji su postavljeni na uslugu skeniranja zlonamernog softvera VirusTotal, ukradeni sertifikati su korišćeni za potpisivanje raznih malvera i alata za hakovanje, kao što su Cobalt Strike beacons, Mimikatz, backdoors i trojanci za daljinski pristup.

Na primer, jedan akter pretnje je koristio sertifikat da potpiše trojanac za daljinski pristup Kuasar [VirusTotal], dok je neko drugi koristio sertifikat za potpisivanje Vindovs drajvera [VirusTotal].

Istraživači bezbednosti Kevin Beaumont i Vill Dormann su rekli da ukradeni sertifikati koriste sledeće serijske brojeve:

43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518

Neke od datoteka su istraživači bezbednosti verovatno otpremili na VirusTotal, ali čini se da su druge koristili akteri pretnji za kampanje zlonamernog softvera [1, 2].

Iako su oba ukradena NVIDIA sertifikata istekla, Vindovs će i dalje dozvoliti da se upravljački program potpisan sa sertifikatima učita u operativni sistem.

Stoga, koristeći ove ukradene sertifikate, akteri pretnji dobijaju prednost da njihovi programi izgledaju kao legitimni NVIDIA programi i dozvoljavaju da Vindovs učita zlonamerne drajvere.

Da bi sprečio učitavanje poznatih ranjivih drajvera u Vindovs, Dejvid Veston, direktor za bezbednost preduzeća i OS u Microsoftu, tvitovao je da administratori mogu da konfigurišu smernice kontrole aplikacija Vindovs Defender-a da kontrolišu koji NVIDIA drajveri mogu da se učitavaju.

Međutim, korišćenje VDAC-a nije lak zadatak, posebno za korisnike Vindovs-a koji nisu IT.

Zbog mogućnosti zloupotrebe, nadamo se da će ukradeni sertifikati biti dodati na Microsoftovu listu opoziva sertifikata u budućnosti kako bi se sprečilo učitavanje zlonamernih drajvera u Vindovs-u.

Međutim, to će dovesti do toga da se blokiraju i legitimni NVIDIA drajveri, tako da verovatno nećemo uskoro videti da se to dešava.