微軟簽章遭攻擊者濫用於開發合法惡意驅動程式

Google雲端旗下的資安公司以及聯手調查，發現多個可終止Windows系統上特定程序的惡意驅動程式，研究人員提到，在這種情況，惡意驅動程式通常會嘗試終止端點的偵測和回應代理（EDR），不過，這項攻擊更大的問題在於，該惡意驅動程式擁有合法簽章，由微軟Windows硬體開發人員計畫認證。

這個惡意程式帶有微軟Windows硬體相容性計畫Authenticode簽章的POORTRY驅動程式樣本，研究人員仔細分析了該驅動程式的Authenticode後設資料，發現該惡意驅動程式，是由Windows硬體相容性計畫簽署，也就是說，惡意驅動程式是由微軟直接簽署，而且研究人員還發現幾個與不同攻擊者關聯的惡意軟體家族，也已經透過這項程序進行簽署，研究人員確定至少有9個組織利用這項非法手法，生成惡意驅動程式。

驅動程式簽章是Windows作業系統的重要安全功能，其要求驅動程式需要擁有有效的加密簽章，才能被載入到系統中，也就是該簽章將開發人員核准為可信任的實體，而這些開發人員的程式碼，繼承了這種信任。

研究人員提到，這種驗證方式對打擊核心模式Rootkit攻擊非常重要，核心模式Rootkit是能夠以最高權限運作的惡意軟體，微軟從偵測到根除核心模式Rootkit，歷經了一段時間的努力。開發人員的驅動程式要能獲得Windows硬體品質實驗室（WHQL）簽章，需滿足一組特殊標準，這個過程仰賴嚴格的檢查，以確保請求的開發人員是真實存在，且沒有提交惡意驅動程式。

開發人員首先必須獲得擴充驗證（Extended Validation，EV）憑證，並在註冊Windows硬體開發人員計畫後，將其附加到帳戶中，EV憑證要求開發人員將私鑰儲存在物理的權杖上，並執行一系列檢查以驗證請求組織的身分。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店：臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪？台中大展搬家線上試算搬家費用，從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗，提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪，彈性的出遊方案，行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

完成之後開發人員必須透過合作夥伴入口，提交驅動程式套件進行一系列測試和簽署，確保相容性且不存在任何惡意意圖，在通過測試後，微軟便會使用Windows Hardware Compatibility Publisher憑證對其進行簽署。

研究人員表示，這個過程的主要問題，是來自於大多數安全解決方案信任微軟簽章的任何內容，尤其是核心模式驅動程式。雖然微軟在Windows 10開始，要求開發人員使用Windows硬體開發人員中心儀表板入口，對所有核心模式驅動程式進行簽章，任何未通過該程序的內容都無法載入到新的Windows版本中。

即便這項新要求強化了驅動程式的控制和可見性，但是攻擊者透過開發驅動程式，並且使驅動程式在微軟的審查過程無法發現其惡意意圖，進而玩弄這個程序。

，判斷該惡意攻擊行動只涉及幾個遭濫用的開發人員計畫帳戶，微軟已經將合作夥伴的賣方帳戶暫時停權，並執行進一步偵測措施，避免往後又出現合法簽署的惡意驅動程式，微軟建議使用者安裝最新的Windows更新，並且更新防毒和端點偵測產品至最新狀態，同時啟用最新簽章，以防範相關攻擊。

https://www.ithome.com.tw/news/154704