HotPage zlonamerna programska oprema
Raziskovalci kibernetske varnosti so odkrili modul oglaševalske programske opreme, ki naj bi blokiral oglase in goljufiva spletna mesta. Vendar skrivaj namesti komponento gonilnika jedra, ki hekerjem omogoča izvajanje poljubne kode s povišanimi dovoljenji v sistemih Windows. To zlonamerno programsko opremo, imenovano HotPage, prepoznamo po namestitveni datoteki »HotPage.exe«.
Kazalo
Kako deluje zlonamerna programska oprema HotPage?
Namestitveni program nastavi gonilnik, ki lahko vstavi kodo v oddaljene procese, skupaj z dvema knjižnicama, ki prestrežeta in manipulirata omrežni promet brskalnika. Ta zlonamerna programska oprema je sposobna spremeniti ali zamenjati vsebino spletnih strani, preusmeriti uporabnike na druge strani ali odpreti nove zavihke glede na posebne pogoje.
Poleg uporabe funkcij prestrezanja prometa in filtriranja za prikazovanje oglasov, povezanih z igrami, je zlonamerna programska oprema zasnovana za zbiranje in prenos informacij o sistemu na oddaljeni strežnik, povezan s kitajskim podjetjem Hubei Dunwang Network Technology Co., Ltd.
Glavna funkcija gonilnika je vbrizgavanje teh knjižnic v aplikacije brskalnika, spreminjanje njihovega toka izvajanja, da spremeni URL, do katerega se dostopa, ali zagotovi, da je domača stran novih sej brskalnika preusmerjena na URL, naveden v njegovi konfiguraciji.
Napadalci bi lahko pridobili privilegije najvišje ravni na okuženih napravah
Pomanjkanje seznamov za nadzor dostopa (ACL) za gonilnik omogoča napadalcu z neprivilegiranim računom, da ga izkoristi za povišane privilegije, kar jim omogoča izvajanje kode kot račun NT AUTHORITY\System.
Ta komponenta jedra nenamerno izpostavi najvišjo raven privilegijev v sistemu Windows, sistemski račun, potencialnim grožnjam. Zaradi neustreznih omejitev dostopa lahko kateri koli proces komunicira s to komponento in uporabi njeno zmožnost vbrizgavanja kode za ciljanje na nezaščitene procese.
Čeprav natančen način distribucije namestitvenega programa ni jasen, obstajajo dokazi, ki kažejo, da se je tržil kot varnostna rešitev za internetne kavarne, ki trdijo, da izboljšuje izkušnjo brskanja z blokiranjem oglasov.
HotPage zlonamerna programska oprema izkorišča podpisano potrdilo
Vdelani gonilnik te zlonamerne programske opreme je še posebej opazen, ker ga je podpisal Microsoft. Kitajsko podjetje, ki stoji za njim, naj bi izpolnilo Microsoftove zahteve za podpisovanje kode gonilnika in pridobilo certifikat razširjenega preverjanja (EV). Vendar je bil gonilnik od 1. maja 2024 odstranjen iz kataloga Windows Server.
Windows zahteva, da so gonilniki v načinu jedra digitalno podpisani kot ključni varnostni ukrep za zaščito pred goljufivimi gonilniki, ki bi lahko spodkopali varnostne kontrole in motili sistemske procese.
Kljub temu so strokovnjaki za kibernetsko varnost odkrili, da izvorni kitajsko govoreči akterji groženj izkoriščajo vrzel v politiki Microsoft Windows za ponarejanje podpisov na gonilnikih v načinu jedra. Analiza HotPage, ki se zdi razmeroma splošen kos zlonamerne programske opreme, dokazuje, da se razvijalci oglaševalske programske opreme še naprej zelo trudijo, da bi dosegli svoje cilje.
