Microsoft призналась в подписи драйвера, оказавшегося руткитом
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Microsoft призналась в подписи драйвера, оказавшегося руткитом

Екатерина Быстрова 28 Июня 2021 - 09:11
...
Microsoft призналась в подписи драйвера, оказавшегося руткитом

Microsoft всё-таки призналась, что подписала вредоносный драйвер, который распространялся для игровой индустрии. Образец получил имя «Netfilter» и по факту оказался руткитом, устанавливающим соединение с командным сервером, имеющим китайский IP-адрес.

Первым на вредонос обратил внимание специалист компании G Data Карстен Хан, после чего другие эксперты тоже начали пристально следить за руткитом. Этот инцидент в очередной раз продемонстрировал риски, существующие для цепочек поставки софта.

Судя по всему, в этот раз проблема возникла из-за ошибки в процессе подписи кода от Microsoft. Изначально команда G Data даже подумала, что система выдала ложное срабатывание, а в итоге оказалось, что Microsoft просто подписала драйвер «Netfilter».

Как мы уже отметили выше, наблюдения за драйвером показали, что он связывается с C2-сервером, якобы расположенном в Китае. Это сразу насторожило исследователей. После выявления подозрительной функциональности Карстен Хан опубликовал свои выводы и поделился ими с Microsoft.

 

«Начиная с Windows Vista, любой код, запускающийся в режиме ядра, обязательно проверяется и подписывается до того, как попадёт к пользователям. Разработчики всегда убеждаются, что такой код будет стабильно работать в операционной системе», — объясняет Хан. — «Более того, драйверы без сертификата от Microsoft нельзя установить по умолчанию».

По результатам анализа вредоноса Хан описал драйвер, его возможность обновляться самостоятельно, а также приложил индикаторы компрометации (IOC) в своём блоге. В процессе самообновления изученный образец отправлял свой хеш MD5 на адрес hxxp://110.42.4.180:2081/v?v=6&m=. Пример запроса выглядел так:

hxxp://110.42.4.180:2081/v?v=6&m=921fa8a5442e9bf3fe727e770cded4ab

Сервер же отвечал URL, по которому хранилась актуальная версия семпла. Сама Microsoft, к слову, уже признала оплошность и активно расследует инцидент. Корпорация из Редмонда заблокировала аккаунт злоумышленников и продолжает искать возможное присутствие вредоносов.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

СКБ Контур запустила Коннект — систему защищённого корпоративного доступа
Екатерина Быстрова 12 Ноября 2025 - 12:15
Малый и средний бизнесКорпорации Сетевая безопасностьЗащищенные VPN-шлюзыСистемы аутентификации
СКБ Контур запустила Коннект — систему защищённого корпоративного доступа

На конференции «Совершенно безопасно 3.0: Точка опоры» компания СКБ Контур представила новый продукт — Коннект от Контур.Эгиды. Это кросс-платформенный инструмент, который обеспечивает безопасный доступ сотрудников и партнёров к корпоративным системам из любой точки мира.

На старте продукт включает VPN корпоративного уровня, многофакторную аутентификацию (MFA), панель централизованного управления пользователями и политиками, а также клиенты для Windows, macOS, Linux, Android и iOS.

Встроенные механизмы контроля соединений позволяют отслеживать состояние сессий и управлять доступом в режиме реального времени.

Решение рассчитано на крупные организации и компании с разветвлённой инфраструктурой и распределёнными командами, где требуется управлять сотнями или тысячами подключений и поддерживать высокий уровень контроля над ними.

По словам Михаила Добровольского, заместителя генерального директора СКБ Контур и руководителя департамента корпоративного управления, Коннект уже используется несколькими крупными клиентами и протестирован на собственных сервисах компании.

Сейчас продукт проходит масштабные пилотные внедрения, в которых проверяется работа в сложных корпоративных сценариях и при большом числе пользователей.

Коннект интегрирован с экосистемой Контур.Эгида и может использовать единый ID для многофакторной аутентификации. Это позволяет централизованно управлять доступами и унифицировать политики безопасности.

В дальнейшем разработчики планируют расширить аналитические возможности, создать собственный протокол передачи данных и пройти сертификацию по требованиям ФСТЭК и ФСБ России.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
В Windows 11 отключили предпросмотр файлов, скачанных из интернета
Новость
В Windows 11 отключили предпросмотр файлов, скачанных из инт...
StormWall зафиксировала ковровую DDoS-атаку в 1,5 Тбит/с
Новость
StormWall зафиксировала ковровую DDoS-атаку в 1,5 Тбит/с
Более 450 фишинговых сайтов маскируются под турсервисы в бархатный сезон
Новость
Более 450 фишинговых сайтов маскируются под турсервисы в бар...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.