Language
私のドライバーは悪事を働いていると厳粛に誓います: 認証署名付きマルウェアの捜索

ブログ

ホームページホームページ / ブログ / 私のドライバーは悪事を働いていると厳粛に誓います: 認証署名付きマルウェアの捜索
search

Jun 08, 2023

ツイン船外機を備えたベイボート 10 隻

Jun 09, 2023

2023 年のベスト ランナバウト ボート 13 件

Sep 01, 2023

15 上映済み

Jun 29, 2023

Iに衝突、1名死亡、1名負傷

Jun 12, 2023

2023 Godfrey XP 2700 W ツインボートのテスト、価格、仕様

お問い合わせを送信してください
送信

Jul 14, 2023

私のドライバーは悪事を働いていると厳粛に誓います: 認証署名付きマルウェアの捜索

最近のインシデント対応調査中に、Mandiant は Windows システム上の一部のプロセスを終了するために使用される悪意のあるドライバーを発見しました。 この場合、ドライバーは次のことを目的として使用されました。

最近のインシデント対応調査中に、Mandiant は Windows システム上の一部のプロセスを終了するために使用される悪意のあるドライバーを発見しました。 この場合、ドライバーは、エンドポイント上のエンドポイント検出と応答 (EDR) エージェントを終了するために使用されました。 Mandiant は、悪意のあるドライバーとそのローダーをそれぞれ POORTRY および STONESTOP として追跡します。 最初の発見の直後、Mandiant は、Microsoft Windows Hardware Compatibility Authenticode 署名で署名された POORTRY ドライバー サンプルを観察しました。 ドライバーの Authenticode メタデータを注意深く分析した結果、Windows ハードウェア互換性プログラムを介して署名された悪意のあるドライバーに関する大規模な調査が行われました。 調査では、さらに広範な問題が見つかりました。

この研究は、SentinelOne の同僚によるブログ投稿とともに公開されています。

人間関係は信頼の上に築かれます。 毎日コンピュータを使用するときに依存するソフトウェアとの関係にも同じことが当てはまります。 このプログラムの実行を信頼できますか?またその理由は何ですか? ソフトウェアはエンド ユーザーにとって非常に不透明な場合があります。 それが X 社からのものであると主張する場合、ソフトウェアの信頼性を検証するためにどのようなメカニズムが存在しますか?

[ジョン・シナのウォークアウト音楽を待ちます。]

コードサイニングがリングに登場しました。

コード署名は、特定のファイルの整合性と信頼性を保証する手段です。 ソフトウェア ベンダーは、コード署名に使用される証明書を、CA/ブラウザ フォーラムおよび CA セキュリティ カウンシルによって定められた標準に準拠する信頼できる認証局 (CA) から取得します。 これらのガイドラインには、企業の法的存在と身元の確認、証明書の要求者が自らが代表していると主張するソフトウェア ベンダーの代理として行動する権限があることなどの要件が詳しく記載されています。

この証明書はソフトウェアに署名するために使用され、ソフトウェアとオペレーティング システム間の信頼レベルを提供します。 コード署名の適用ポリシーは、署名付きコードの実行のみを許可するものから、署名付きコードの実行に対するセキュリティ警告を最小限に抑えるもの、アプリケーションの信頼性を示すデジタル署名として純粋に機能するものまで、オペレーティング システムやファイルの種類によって異なります。

Microsoft の Windows バイナリ用のコード署名実装は、Authenticode として知られています。 Authenticode にはドライバーおよびドライバー パッケージに固有の機能がいくつかあり、ハードウェア ベンダーが Windows ハードウェア互換性プログラムを通じてドライバーに適切に署名できるように支援します。

「Windows ハードウェア互換性プログラムは、貴社が Windows と互換性があり、Windows 10、Windows 11、および Windows Server 2022 上で確実に動作するシステム、ソフトウェア、およびハードウェア製品を提供できるように設計されています。このプログラムは、ドライバーの開発、テスト、配布に関するガイダンスも提供します。 。 Windows ハードウェア デベロッパー センター ダッシュボードを使用すると、提出物の管理、デバイスやアプリのパフォーマンスの追跡、テレメトリの確認などを行うことができます。」

Windows ハードウェア互換性プログラムのプロセスには複数の段階があります。

Windows 10 以降での操作性については、ドライバーを Microsoft に提出して、証明書の署名

この証明書署名プロセスでは、デジタル署名を使用して、送信されたドライバー パッケージの整合性を検証し、ドライバー パッケージを提供したソフトウェア発行者の身元を検証します。 このプロセスでは、提出組織が拡張検証 (EV) 証明書を使用してドライバー パッケージに署名する必要があります。EV 証明書には、他のコード署名証明書よりも識別要件が強化されており、より強力な暗号化アルゴリズムを使用する必要があります。 これらの EV 証明書は、強化された監査要件に同意した小規模な認証局によって提供されています。

追加の手順として、ベンダーは Windows 認定を受けるために、ハードウェア ラボ キット (HLK) テスト用のドライバーを提出できます。 ドライバーが証明書署名を受け取った場合、それは Windows 認定されていません。 Microsoft からの認証署名は、ドライバーが Windows によって信頼できることを示していますが、ドライバーは HLK Studio でテストされていないため、互換性や機能などについては保証されません。

3 and/p>