HotPage'i pahavara
Küberturvalisuse teadlased on avastanud reklaamvaramooduli, mis väidetavalt blokeerib reklaame ja petturlikke veebisaite. Siiski installib see salaja kerneli draiveri komponendi, mis võimaldab häkkeritel käivitada Windowsi süsteemides kõrgendatud õigustega suvalist koodi. See pahavara nimega HotPage tuvastatakse selle installifaili HotPage.exe järgi.
Sisukord
Kuidas HotPage'i pahavara töötab?
Installer seadistab draiveri, mis suudab koodi sisestada kaugprotsessidesse, koos kahe teegiga, mis peatavad ja manipuleerivad brauseri võrguliiklust. See pahavara on võimeline muutma või asendama veebilehtede sisu, suunama kasutajaid erinevatele lehtedele või avama konkreetsetel tingimustel uusi vahelehti.
Lisaks liikluse pealtkuulamise ja filtreerimisfunktsioonide kasutamisele mängudega seotud reklaamide kuvamiseks on pahavara loodud süsteemiteabe kogumiseks ja edastamiseks kaugserverisse, mis on seotud Hiina ettevõttega Hubei Dunwang Network Technology Co., Ltd.
Draiveri põhifunktsioon on sisestada need teegid brauseri rakendustesse, muutes nende täitmisvoogu, et muuta juurdepääsetavat URL-i või tagada, et uute brauseri seansside avaleht suunatakse ümber selle konfiguratsioonis määratud URL-ile.
Ründajad võivad nakatunud seadmetes omandada kõrgeima taseme õigused
Juhi juurdepääsukontrolliloendite (ACL) puudumine võimaldab mitteprivilegeeritud kontoga ründajal seda kõrgendatud õiguste saamiseks ära kasutada, võimaldades neil käivitada koodi NT AUTHORITY\System kontona.
See kerneli komponent seab Windowsi kõrgeima privileegitaseme ehk süsteemikonto tahtmatult potentsiaalsete ohtude kätte. Ebapiisavate juurdepääsupiirangute tõttu võivad kõik protsessid selle komponendiga suhelda ja kasutada selle koodi sisestamise võimalust kaitsmata protsesside sihtimiseks.
Kuigi installija täpne levitamismeetod on ebaselge, on tõendeid selle kohta, et seda on turustatud Interneti-kohvikute turvalahendusena, väites, et see parandab sirvimiskogemust, blokeerides reklaamid.
HotPage'i pahavara kasutab ära allkirjastatud sertifikaati
Selle pahavara sisseehitatud draiver on eriti tähelepanuväärne, kuna sellele on alla kirjutanud Microsoft. Arvatakse, et selle taga olev Hiina ettevõte on täitnud Microsofti draiverikoodi allkirjastamise nõuded ja saanud laiendatud kontrolli (EV) sertifikaadi. Kuid draiver eemaldati Windows Serveri kataloogist alates 1. maist 2024.
Windows nõuab kriitilise turvameetmena kerneli režiimi draiverite digitaalset allkirjastamist, et kaitsta end petturlike draiverite eest, mis võivad kahjustada turvakontrolli ja häirida süsteemiprotsesse.
Sellele vaatamata on küberturvalisuse eksperdid avastanud, et hiina keelt emakeelena kõnelevad ohutegijad kasutavad Microsoft Windowsi poliitikas olevat lünka, et võltsida tuumarežiimi draiveritele allkirju. HotPage'i analüüs, mis näib olevat suhteliselt üldine pahavara, näitab, et reklaamvaraarendajad näevad oma eesmärkide saavutamiseks jätkuvalt palju vaeva.
