黑客诱使微软签署装有Rootkit恶意软件的Netfilter驱动程序

微软周五表示，正在调查一起事件，该公司签署的一个驱动程序被证明是一个恶意的Windows rootkit，被发现与位于中国的指挥与控制（C2）服务器通信。

据称，这款名为“Netfilter”的驱动程序针对的是游戏环境，尤其是东亚国家。这家总部位于雷德蒙德的公司指出，“这名演员的目标是利用该驱动程序欺骗自己的地理位置，以欺骗系统并在任何地方玩游戏。”

微软安全响应中心（Microsoft Security Response Center，MSRC）表示：“该恶意软件使他们能够在游戏中获得优势，并可能通过键盘记录器等常用工具破坏其他玩家的帐户，从而利用其他玩家进行攻击。”。

值得指出的是，Netfilter也指合法的软件包，它可以为基于Linux的系统进行数据包过滤和网络地址转换。

微软称该恶意软件为“Retliften”，暗指“netfilter”，但拼写相反，添加恶意驱动程序可以拦截网络流量、添加新的根证书、设置新的代理服务器，以及在未经用户同意的情况下修改互联网设置。

德国网络安全公司G Data的恶意软件分析师卡斯滕·哈恩（Karsten Hahn）发现了这种恶意代码签名，他分享了rootkit的更多细节，包括用于在系统上部署和安装Netfilter的滴管。

成功安装后，发现驱动程序与C2服务器建立连接以检索配置信息，该服务器提供了许多功能，例如IP重定向，以及接收根证书甚至自我更新恶意软件的其他功能。

哈恩说，在ViuStoTar上检测到的NETFLASE最古老的样本可以追溯到2021年3月17日。

微软指出，该参与者通过Windows硬件兼容性程序（WHCP）提交了驱动程序以供认证，并且驱动程序由第三方构建。此后，该公司暂停了该账户，并审查了其提交的文件，查看是否存在其他恶意软件迹象。

这家Windows制造商还强调，攻击中使用的技术可能会发生剥削后，这就要求对手必须事先获得管理权限，以便能够在系统启动期间安装驱动程序，或诱骗用户代表他们这样做。

此外，微软表示，它打算完善其合作伙伴访问政策以及验证和签署流程，以进一步加强保护。

MSRC表示：“随着威胁行为体发现新的创新方法，可以通过各种载体进入环境，安全形势将继续快速发展。”MSRC再次强调，威胁行为体可以如何利用与签名驱动程序相关的信任来促进大规模软件供应链攻击。