微软承认曾向包含恶意的Netfilter rootkit内核驱动程序提供签名

蓝天二号

微软目前正在强迫所有Windows 11用户转向支持TPM 2.0的电脑，希望这提供的加密安全将使恶意软件成为过去。然而，如果微软自己正式签署了恶意软件，从而让他们自由支配其操作系统，那么这一切都是徒劳的。微软已经承认签署了一个名叫Netfilter rootkit的恶意的内核驱动程序，它与一种游戏一起分发，可以与其来源的控制服务器进行通信。

现在看来，这家开发包含恶意行为的软件公司仅仅通过遵循正常程序，像任何正常公司一样提交驱动程序，就击穿了微软的安全防线。


"微软正在调查一个在游戏环境中分发恶意驱动程序的恶意行为者，"微软指出。"该行为人通过Windows硬件兼容计划提交了驱动程序进行认证。这些驱动程序是由第三方建立的"。

"我们已经暂停了该账户，并审查了他们提交的文件，以确定是否有其他恶意软件的迹象，"微软昨天说。

该驱动程序与被怀疑会对外通信并具有自我更新的能力，这意味着黑客可以在内核级别的的安全背景下在Windows计算机上运行任意代码。

微软仍在调查这个问题，但暂时并没有把对微软程序的利用归结为国家行为者，但这个问题确实相当让令微软颜面扫地。

您可以在BleepingComputer阅读更多细节：

https://www.bleepingcomputer.com ... upply-chain-fiasco/

yjwfdc

微软层层拦截，成功地把安全软件拦截在系统外层。

a27573

论坛里早就发过类似的了
https://bbs.kafan.cn/thread-2178658-1-1.html
甚至已经出现专门帮驱动上签名的公司了

a27573

yjwfdc 发表于 2021-6-27 18:38
微软层层拦截，成功地把安全软件拦截在系统外层。

然而（面向普通用户的）Rootkit变少了是事实
PatchGuard甚至是HVCI在提升Rootkit开发成本方面还是有效果的

对于安全软件，微软也提供了一些替代Hook的方法，而且有些功能是要经过认证的安全软件才能使用的，比如之前DoubleAgent就只有使用了PPL的安全软件挡住了。
AMSI也挺有用的。

一个笨鸟

混白很正常啊。不过这个木马的控制中心的IP是宁波的

国内也有专门混国内杀软的白名单的。

ANY.LNK

WHQL rootkit啊，好像老早就出现了。当初完美击穿了几乎所有杀软的防护，给微软上报也都不加分析直接not malware……在这个越来越没有信任的世界，零信任的趋势下，信任，也成了一种罪过
不过为何这人警告微软就得到了确认与重视，我很早就提示微软了却没有人理我？

aiping

哟西～～

trkdala

ANY.LNK 发表于 2021-6-27 21:27
WHQL rootkit啊，好像老早就出现了。当初完美击穿了几乎所有杀软的防护，给微软上报也都不加分析直接not ma ...

因为傲慢

qw8462

360以前也干过给病毒加白名单的操作

wwwab

图片里面的那个病毒C&C服务器，样本之前@hsks 收集过，做成了样本包