„HotPage“ kenkėjiška programa
Kibernetinio saugumo tyrėjai atskleidė reklaminių programų modulį, kuris teigia, kad blokuoja reklamas ir nesąžiningas svetaines. Tačiau jis slapta įdiegia branduolio tvarkyklės komponentą, leidžiantį įsilaužėliams vykdyti savavališką kodą su padidintais leidimais Windows sistemose. Ši kenkėjiška programa, pavadinta HotPage, identifikuojama pagal diegimo programos failą „HotPage.exe“.
Turinys
Kaip veikia „HotPage“ kenkėjiška programa?
Diegimo programa nustato tvarkyklę, kuri gali įterpti kodą į nuotolinius procesus, kartu su dviem bibliotekomis, kurios perima ir valdo naršyklės tinklo srautą. Ši kenkėjiška programa gali modifikuoti arba pakeisti tinklalapių turinį, nukreipti vartotojus į skirtingus puslapius arba atidaryti naujus skirtukus pagal konkrečias sąlygas.
Kenkėjiška programa ne tik naudoja srauto perėmimo ir filtravimo funkcijas, kad būtų rodoma su žaidimais susijusi reklama, bet ir skirta sistemos informacijai rinkti ir perduoti į nuotolinį serverį, susietą su Kinijos įmone Hubei Dunwang Network Technology Co., Ltd.
Pagrindinė tvarkyklės funkcija yra įterpti šias bibliotekas į naršyklės programas, keičiant jų vykdymo srautą, kad būtų pakeistas pasiekiamas URL arba užtikrintų, kad naujų naršyklės seansų pagrindinis puslapis būtų peradresuojamas į jo konfigūracijoje nurodytą URL.
Užpuolikai gali įgyti aukščiausio lygio privilegijas užkrėstuose įrenginiuose
Tvarkyklės prieigos kontrolės sąrašų (ACL) trūkumas leidžia užpuolikui, turinčiam neprivilegijuotą paskyrą, ja pasinaudoti, kad gautų padidintas teises, leidžiančias vykdyti kodą kaip NT AUTHORITY\System paskyrą.
Šis branduolio komponentas netyčia kelia galimoms grėsmėms aukščiausią Windows privilegijų lygį, sistemos paskyrą. Dėl netinkamų prieigos apribojimų bet kuris procesas gali sąveikauti su šiuo komponentu ir naudoti jo kodo įterpimo galimybę, kad būtų nukreiptas į neapsaugotus procesus.
Nors tikslus diegimo programos platinimo metodas neaiškus, yra įrodymų, kad jis buvo parduodamas kaip interneto kavinių apsaugos sprendimas, teigiama, kad blokuojant skelbimus pagerina naršymo patirtį.
„HotPage“ kenkėjiška programa išnaudoja pasirašytą sertifikatą
Šios kenkėjiškos programos įterptoji tvarkyklė ypač pastebima, nes ją pasirašė „Microsoft“. Manoma, kad Kinijos įmonė atitiko „Microsoft“ tvarkyklės kodo pasirašymo reikalavimus ir gavo išplėstinio patikrinimo (EV) sertifikatą. Tačiau tvarkyklė buvo pašalinta iš „Windows Server“ katalogo nuo 2024 m. gegužės 1 d.
„Windows“ reikalauja, kad branduolio režimo tvarkyklės būtų pasirašytos skaitmeniniu būdu, nes tai yra svarbi saugos priemonė, siekiant apsisaugoti nuo apgaulingų tvarkyklių, galinčių pakenkti saugos kontrolei ir sutrikdyti sistemos procesus.
Nepaisant to, kibernetinio saugumo ekspertai išsiaiškino, kad kiniškai kalbantys grėsmės veikėjai naudojasi Microsoft Windows politikos spraga, kad padirbtų parašus branduolio režimo tvarkyklėse. „HotPage“, kuri, atrodo, yra gana bendra kenkėjiškų programų dalis, analizė rodo, kad reklaminių programų kūrėjai ir toliau labai stengiasi pasiekti savo tikslus.
