छवि: SomYuZu/Adobe Stock सिस्को टैलोस ने एक नई माइक्रोसॉफ्ट विंडोज नीति खामियों की खोज की है जो एक खतरे वाले अभिनेता को ऑपरेटिंग सिस्टम द्वारा निष्पादित दुर्भावनापूर्ण कर्नेल-मोड ड्राइवरों पर हस्ताक्षर करने की अनुमति देता है। दुर्भावनापूर्ण कर्नेल-मोड ड्राइवरों पर हस्ताक्षर करने को सक्षम करने के लिए ख़तरा अभिनेता Microsoft की एक विशिष्ट अनुकूलता नीति का लाभ उठाता है। फिर, रेडड्राइवर मैलवेयर, जिसे एक चीनी भाषी खतरे वाले अभिनेता द्वारा विकसित किया जा सकता है, मुख्य रूप से चीन में उपयोग किए जाने वाले ब्राउज़रों को लक्षित करता है।
दुर्भावनापूर्ण कर्नेल-मोड उपयोगकर्ता-मोड ड्राइवरों के विपरीत ड्राइवर एक गंभीर खतरे का प्रतिनिधित्व करते हैं। इन ड्राइवरों के बारे में और जानें, रेडड्राइवर मैलवेयर क्या करता है और किसे लक्षित किया जाता है, और अपने व्यवसाय को कैसे सुरक्षित रखें।
यहां जाएं:
क्यों दुर्भावनापूर्ण कर्नेल-मोड ड्राइवर एक गंभीर ख़तरा हैं खामियों का फायदा उठाने के लिए उपकरण तब से उपलब्ध हैं 2018 रेडड्राइवर मैलवेयर से मिलें चीनी भाषी धमकी देने वाले कलाकार और पीड़ित अपने व्यवसाय को इस साइबर सुरक्षा खतरे से कैसे बचाएं दुर्भावनापूर्ण कर्नेल-मोड ड्राइवर एक गंभीर खतरा क्यों हैं माइक्रोसॉफ्ट विंडोज ऑपरेटिंग सिस्टम दो प्रकार के ड्राइवरों को संभालते हैं: उपयोगकर्ता-मोड ड्राइवर और कर्नेल-मोड ड्राइवर। बाद वाले कई कारणों से उपयोगकर्ता-मोड ड्राइवरों की तुलना में बहुत अधिक शक्तिशाली हैं। कर्नेल-मोड ड्राइवर:
ऑपरेटिंग सिस्टम में निम्न स्तर पर चलाएं , जिससे उपयोगकर्ता-मोड अनुप्रयोगों की तुलना में उनका पता लगाना कठिन हो जाता है और उच्चतम विशेषाधिकारों के साथ कोड के निष्पादन की अनुमति मिलती है। कर सकते हैं लगातार बने रहें, हर बार ऑपरेटिंग सिस्टम शुरू होने पर निष्पादित किया जाता है। सुरक्षा को बायपास करने के लिए इस्तेमाल किया जा सकता है क्योंकि उनके पास सीधी पहुंच है हार्डवेयर और सिस्टम घटकों, जैसे फ़ायरवॉल या एंटीमैलवेयर सॉफ़्टवेयर के लिए। सिस्टम पर मैलवेयर जैसे अन्य सॉफ़्टवेयर की उपस्थिति। माइक्रोसॉफ्ट ने सिस्टम की सुरक्षा और प्रमाणपत्रों के आधार पर दुर्भावनापूर्ण कर्नेल-मोड ड्राइवरों के खतरे से लड़ने के लिए उपाय तैनात किए हैं। कर्नेल-मोड ड्राइवरों को एक सत्यापित प्रमाणपत्र प्राधिकारी से आने वाले प्रमाणपत्र के साथ डिजिटल रूप से हस्ताक्षरित होने की आवश्यकता है। विंडोज़ से 02 संस्करण 466 चालू, माइक्रोसॉफ्ट ने हस्ताक्षर नीति को अद्यतन किया है ताकि अब नए कर्नेल-मोड ड्राइवरों को अनुमति न दी जा सके जो उसके डेवलपर पोर्टल पर सबमिट नहीं किए गए हैं और हस्ताक्षर नहीं किए गए हैं।
जिस खामी का फायदा उठाया जा रहा है की कार्यक्षमता और अनुकूलता को बनाए रखने के लिए पुराने ड्राइवर, Microsoft ने निम्नलिखित मामलों के लिए कुछ अपवाद बनाए:
कंप्यूटर को विंडोज़ के पुराने रिलीज़ से विंडोज़ में अपग्रेड किया गया था संस्करण 1607. सुरक्षित बूट पैरामीटर कंप्यूटर के BIOS या UEFI फ़र्मवेयर में बंद पर सेट है . ड्राइवरों ने जुलाई
से पहले जारी किए गए अंतिम-इकाई प्रमाणपत्र के साथ हस्ताक्षर किए , 466 जो एक समर्थित क्रॉस-हस्ताक्षरित प्रमाणपत्र प्राधिकरण से जुड़ा है। यहां एक खामी मौजूद है जिस तरह से एक नए संकलित ड्राइवर के साथ “हस्ताक्षरित” किया जा सकता है जुलाई से पहले जारी किए गए या समाप्त हो चुके गैर-निरस्त प्रमाणपत्र वां 2015, बशर्ते कि प्रमाणपत्र एक समर्थित क्रॉस-हस्ताक्षरित सीए से जुड़ा हो,” जैसा कि सिस्को टैलोस ने लिखा है।
इसलिए, मल्टीपल ओपन -स्रोत टूल ने डेवलपर्स को सफलतापूर्वक ड्राइवरों पर हस्ताक्षर करने में सक्षम बनाने के लिए इस खामी का फायदा उठाना शुरू कर दिया है।
डेवलपर्स को इस विंडोज़ नीति खामी का फायदा उठाने में मदद करने के लिए उपकरण मौजूद हैं; सिस्को टैलोस ने FuCertVerifyTimeValidity (वास्तविक नाम सिस्को टैलोस रिपोर्ट में है) और हुकसाइनटूल का उल्लेख किया है, जो दोनों इंटरनेट पर मुफ्त में उपलब्ध हैं (चित्रा ए). FuCertVerifyTimeValidity 512 से उपलब्ध है चीनी मंच, जबकि हुकसाइनटूल 770 में दिखाई दिया।
चित्रा ए
प्रारंभिक रिहाई 770 में एक चीनी भाषी क्रैकिंग फोरम पर हुकसाइनटूल का . छवि: सिस्को टैलोस वे उपकरण माइक्रोसॉफ्ट डिटोर्स पैकेज का उपयोग करते हैं, जो विंडोज़ पर एपीआई कॉल की निगरानी और उपकरण के लिए बनाया गया था , “pTimeToVerify” पैरामीटर में एक कस्टम समय पास करने के लिए, एक अमान्य समय को सत्यापित करने की अनुमति देता है। डिटोर का उपयोग निष्पादन के दौरान हस्ताक्षर करने के टाइमस्टैम्प को बदलने के लिए भी किया जाता है। 32, 2015 और इसकी निजी कुंजी और पासवर्ड सफलतापूर्वक डिजिटल हस्ताक्षर बनाने के लिए। सिस्को टैलोस शोधकर्ताओं को GitHub पर होस्ट की गई एक फ़ाइल एक उपकरण के कांटे में मिली जिसमें एक दर्जन से अधिक समाप्त हो चुके कोड-हस्ताक्षर प्रमाणपत्र थे जो अक्सर दोनों उपकरणों के साथ उपयोग किए जाते थे।
रेडड्राइवर मैलवेयर से मिलें द हमले की श्रृंखला DnfClientShell नामक एकल निष्पादन योग्य फ़ाइल से शुरू होती है .exe जो एक DnfClient संसाधन को एक दूरस्थ प्रक्रिया में इंजेक्ट करता है। फिर, DnfClient रेडड्राइवर पेलोड के डाउनलोड को आरंभ करने के लिए खतरे वाले अभिनेता के कमांड और कंट्रोल सर्वर (C2) के साथ संचार करना शुरू कर देता है। DnfClient लोकलहोस्ट पर एक श्रवण पोर्ट भी खोलता है (07.0.0.1).
सिस्को टैलोस के अनुसार, रेडड्राइवर एक अनिर्दिष्ट दुर्भावनापूर्ण कर्नेल-मोड ड्राइवर है जिसका नाम बाइनरी से ही आता है, क्योंकि इसके डेवलपर ने इसे संकलन प्रोजेक्ट फ़ाइल पथ में नाम दिया था। RedDriver को HookSignTool का उपयोग करके हस्ताक्षरित किया गया है। सिस्को टैलोस शोधकर्ताओं ने विभिन्न प्रमाणपत्रों के साथ हस्ताक्षरित दुर्भावनापूर्ण कर्नेल के विभिन्न संस्करण पाए। ब्राउज़र, जिनमें से कई चीन में लोकप्रिय हैं (चित्रा बी). और, यह सिस्टम में एक रूट प्रमाणपत्र जोड़ता है।
चित्रा बी
रेडड्राइवर बाइनरी के भीतर ब्राउज़र नाम सूची। छवि: सिस्को टैलोस रेडड्राइवर उन ब्राउज़रों से ट्रैफ़िक को पर रीडायरेक्ट करता है .0.0.1, फिर भी यह स्पष्ट नहीं है कि क्यों। यह अभी भी एक उच्च खतरे का प्रतिनिधित्व करता है क्योंकि रेडड्राइवर विंडोज़ फ़िल्टरिंग प्लेटफ़ॉर्म का उपयोग करके पैकेट स्तर पर ब्राउज़र ट्रैफ़िक में हेरफेर करने में सक्षम है, जो एपीआई और सिस्टम सेवाओं का एक सेट है जो नेटवर्क फ़िल्टरिंग एप्लिकेशन बनाने के लिए एक प्लेटफ़ॉर्म प्रदान करता है।
रेडड्राइवर का एक पुराना संस्करण सिस्को टैलोस शोधकर्ताओं द्वारा पाया गया था। वह संस्करण कम से कम 2021 से सक्रिय है और इसमें एक शामिल है सिस्को टैलोस के अनुसार, दर्जनों ड्राइवरों के नामों की हार्डकोडेड सूची, “जिनमें से कई ऐसे सॉफ़्टवेयर से संबंधित हैं जो मूल रूप से चीनी हैं” और “सॉफ़्टवेयर पर केंद्रित हैं जिनका उपयोग इंटरनेट कैफे में किया जाएगा”, जिसमें इंटरनेट कैफे को लक्षित करने का भी उल्लेख है चीन में साइबर अपराध समूहों द्वारा असामान्य बात नहीं है।
चीनी -बोलने वाले धमकी देने वाले कलाकार और पीड़ित रेडड्राइवर के डेवलपर्स ने कई निशान छोड़े हैं जो दर्शाते हैं कि वे चीनी भाषी व्यक्ति हैं .
उदाहरण के लिए, रेडड्राइवर से जुड़े सभी डोमेन चीन में स्थित हैं। रेडड्राइवर ऑपरेशन में कई ओपन-सोर्स टूल के कोड शामिल होते हैं जो ज्यादातर चीनी-भाषी मंचों से उत्पन्न होते हैं। रेडड्राइवर कोड का प्रारंभिक भाग मूल रूप से एक चीनी मंच पर पोस्ट किया गया था।
जिस तरह रेडड्राइवर खतरा अभिनेता संभवतः चीनी मूल का है, लक्ष्य रेडड्राइवर के चीनी भाषी लोग हैं। लक्षित ब्राउज़रों की सूची और RedDriver द्वारा लक्षित ड्राइवर नामों की सूची अधिकतर चीनी सॉफ़्टवेयर से संबंधित है। “डीएनएफ” से शुरू होने वाली प्रारंभिक संक्रमण फ़ाइलें संभवतः चीन में एक अत्यधिक लोकप्रिय गेम, डंगऑन फाइटर ऑनलाइन, जिसे डीएनएफ कहा जाता है, के रूप में छिपाने का प्रयास है।
अपने व्यवसाय को इस साइबर सुरक्षा खतरे से कैसे बचाएं सिस्को टैलोस ने धमकी देने वाले अभिनेता द्वारा उपयोग किए गए सभी प्रमाणपत्रों की सूचना माइक्रोसॉफ्ट को दी। माइक्रोसॉफ्ट द्वारा विंडोज के भीतर बनाए गए ड्राइवर ब्लॉक सूची को उन सभी प्रमाणपत्रों को ब्लॉक करने के लिए अद्यतन किया गया है।
सिस्को टैलोस का शोध उपयोग की गई प्रारंभिक विधि का संकेत नहीं देता है कंप्यूटरों को संक्रमित करें, जो वेबसाइट समझौता, फ़िशिंग ईमेल या अन्य सोशल इंजीनियरिंग तकनीकें हो सकती हैं, इसलिए सामान्य साइबर सुरक्षा स्वच्छता को तैनात करने की आवश्यकता है।
शुरुआत के लिए, सभी ऑपरेटिंग सिस्टम, फ़र्मवेयर और सॉफ़्टवेयर को हमेशा अद्यतन और पैच किया जाना चाहिए। इससे आम कमजोरियों से समझौता होने से बचा जा सकेगा।
किसी भी संदिग्ध व्यवहार के लिए एंडपॉइंट और नेटवर्क की निगरानी के लिए सुरक्षा समाधान तैनात करने की आवश्यकता है। ईमेल में संलग्न फ़ाइलों का सावधानीपूर्वक विश्लेषण किया जाना चाहिए। अंत में, कर्मचारियों को धोखाधड़ी और संक्रमण प्रयासों, विशेष रूप से फ़िशिंग का पता लगाने के लिए प्रशिक्षित किया जाना चाहिए। प्रकटीकरण: मैं ट्रेंड माइक्रो के लिए काम करता हूं, लेकिन विचार इस लेख में व्यक्त विचार मेरे हैं।20230711
4133921
Be First to Comment