天创培训:您身边的信息安全培训专家!
行业动态
微软签署了一个名为 Netfilter 的驱动程序,结果发现它包含恶意软件

微软承认了这一事件,目前正在调查该问题,但同时淡化了其影响。

在最近的新闻中,发现 Microsoft 签署了用于 Windows 的第三方驱动程序 Netfilter,该驱动程序包含rootkit 恶意软件并且主要在游戏社区中传播。

这是由 G Data 恶意软件分析师 Karsten Hahn 首次发现的,他在注意到“Netfilter”后发了推文,后来他追踪、分析并确定带有微软的印章。

新文章:微软签署了恶意 Netfilter rootkit

感谢您的贡献@jaydinbas @cyb3rops @cci_forensics https://t.co/6mtxONK1YS

— Karsten Hahn (@struppigel) 2021 年 6 月 25 日

中国,恶意软件, Microsoft , Netfilter ,安全, Windows

当微软观察 rootkit 时,发现它与中国的命令和控制 IP (C2) 通信,事实证明,这些属于美国国防部标记为“社区中国军事”的公司之一。 ”。 

驱动程序制造商宁波卓智创新网络科技公司正在与微软合作研究和修补任何已知的安全漏洞,包括受影响的硬件。用户将通过Windows Update获得干净的驱动程序。 

尽管微软承认错误并开始调查事件,但他们确实淡化了驱动程序的影响。他们关注的想法是,由于该驱动程序针对游戏玩家并且仅在游戏社区中传播,因此不知道是否会损害任何企业用户。

此外,他们补充说,rootkit 仅在用户授权驱动程序并在 PC 上获得管理员级别的访问权限以安装驱动程序时才有效。这个想法是 Netfilter 不会对您的 PC 构成威胁,除非您不遗余力地安装它。

在一篇博客文章中,微软表示将“完善”签名流程、合作伙伴访问政策和验证。这家科技巨头宣布已暂停该帐户,目前正在接受审查以提交添加的恶意软件迹象。 

我们没有看到 WHCP 签名证书被暴露的证据。微软表示,基础设施没有受到损害。

该参与者的活动仅限于中国的游戏行业,似乎并不针对企业环境。该公司透露,我们目前并未将其归因于民族国家行为者。

演员的目标是使用驱动程序来欺骗他们的地理位置以欺骗系统并从任何地方播放。微软警告说,该恶意软件使他们能够在游戏中获得优势,并可能通过键盘记录器等常用工具破坏他们的帐户来利用其他玩家。

然而,事件并不完全令人欣慰。许多人将签名驱动程序视为确认驱动程序或程序是安全的。如果这些用户担心可能存在恶意软件,即使这些驱动程序直接来自制造商,他们也可能会犹豫是否及时安装新驱动程序。

(来源:HackRead)