在最近的一篇报道中，微软已经承认他们签名了一个恶意驱动程序，现在它正在游戏环境中进行管理。经调查得知，该公司已签名的驱动程序为恶意Windows Rootkit，并持续针对游戏环境。

G DATA恶意软件分析师Karsten Hahn首先发现了恶意rootkit，他确认威胁行为者的目标是用户，特别是在东亚国家的一些用户。

微软公司已经注意到这次攻击，他们认为攻击者使用恶意驱动程序来欺骗他们的地理位置，以便欺骗系统并从任何地方玩游戏。

无证书暴露迹象

该公司已内置检测，正在连同Zero Trust和分层防御安全态势尽最大努力尽快阻止此驱动程序。除此之外，该公司还试图找出通过Microsoft Defender for Endpoint链接的文件。但是他们也表明还没有任何证据显示WHCP签名证书被暴露，其基础设施也没有收到黑客的破坏。

这次攻击中使用的所有方法都发生在漏洞利用之后，然而这种恶意软件允许威胁行为者在游戏中获得优势，并且他们可以通过一些常用工具（如键盘记录器）的帮助来接管其他玩家的帐户。

微软签署了一个Rootkit

经过长时间的调查，研究人员了解到该驱动程序已被发现与某些国家的C&C IP正在进行通信，并且所有这些IP都令人怀疑，因为它们根本没有提供任何合法的功能。

不过有消息称，从Windows Vista开始，任何在内核模式下运行的代码都需要在公开发布之前进行测试和签名，以确保操作系统的稳定性。默认情况下无法安装没有Microsoft证书的驱动程序。

但是，对Netfilter 的C&C基础设施进行的URL的分析清楚地表明，第一个URL返回一组备用路由(URL)，由(“|”)分隔，所有这些都用于特定目的。

◾“hxxp://110.42.4.180:2081/p”–以此结尾的URL与代理设置相链接。

◾“hxxp://110.42.4.180:2081/s”–规定编码的IP地址转发。

◾“hxxp://110.42.4.180:2081/h？”–专用于获取CPU-ID。

◾“hxxp://110.42.4.180:2081/c”–生成根证书。

◾“hxxp://110.42.4.180:2081/v？”–链接到自动恶意软件更新功能。

第三方账户被暂停

在得知恶意驱动程序后，微软表示将展开强有力的调查。调查结束后不久，该公司得知黑客已经通过Windows硬件兼容性计划(WHCP)放弃了驱动程序的认证。

但是，微软已经通过传播该帐户立即暂停了恶意驱动程序，并检查了黑客提交的恶意软件的进一步活动迹象。

微软承认签署了恶意驱动程序

目前看来没有证据证明被盗的代码签名证书已经被使用，但是黑客已经针对游戏行业开始了攻击。同时可以明确的一点是这种错误签名的二进制文件以后可能会被黑客滥用，并且很容易产生大规模的软件供应链攻击。

除此之外，微软正在尽最大努力阻止此类攻击，并找出所有细节和关键因素，从而更好地了解威胁行为者的主要动机和整个行动计划。

参考及来源：https://gbhackers.com/hackers-trick-microsoft-into-signing-a-malicious-netfilter-rootkit/