HotPage 恶意软件

网络安全研究人员发现了一个广告软件模块，该模块声称可以拦截广告和欺诈网站。然而，它秘密安装了一个内核驱动程序组件，允许黑客在 Windows 系统上以提升的权限执行任意代码。该恶意软件名为 HotPage，其安装程序文件为“HotPage.exe”。

HotPage 恶意软件如何运作？

安装程序会设置一个驱动程序，该驱动程序可以向远程进程注入代码，以及两个拦截和操纵浏览器网络流量的库。该恶意软件能够修改或替换网页内容，将用户重定向到不同的页面，或根据特定条件打开新标签。

除了利用流量拦截和过滤功能显示游戏相关广告外，该恶意软件还旨在收集系统信息并将其传输到与中国公司湖北盾网网络科技有限公司链接的远程服务器。

驱动程序的主要功能是将这些库注入浏览器应用程序，改变其执行流程以更改访问的 URL 或确保新浏览器会话的主页重定向到其配置中指定的 URL。

攻击者可获得受感染设备的最高权限

由于驱动程序缺少访问控制列表 (ACL)，具有非特权帐户的攻击者可以利用它来提升权限，从而以 NT AUTHORITY\System 帐户的身份执行代码。

此内核组件无意中将 Windows 中的最高权限级别（系统帐户）暴露给潜在威胁。由于访问限制不足，任何进程都可以与此组件交互，并使用其代码注入功能来攻击未受保护的进程。

虽然安装程序的具体分发方法尚不清楚，但有证据表明它已经作为网吧的安全解决方案进行销售，声称可以通过阻止广告来增强浏览体验。

HotPage 恶意软件利用已签名的证书

该恶意软件的嵌入式驱动程序尤其引人注目，因为它是由微软签名的。据信，其背后的中国公司已经满足了微软的驱动程序代码签名要求，并获得了扩展验证 (EV) 证书。然而，自 2024 年 5 月 1 日起，该驱动程序已从 Windows Server 目录中删除。

Windows 要求对内核模式驱动程序进行数字签名，作为一项关键的安全措施，以防止可能破坏安全控制和破坏系统进程的欺诈性驱动程序。

尽管如此，网络安全专家发现，以中文为母语的威胁行为者正在利用 Microsoft Windows 策略的漏洞伪造内核模式驱动程序的签名。对 HotPage 的分析表明，广告软件开发人员仍在不遗余力地实现其目标，HotPage 似乎是一款相对普通的恶意软件。