暴露 Microsoft 签名软件中的恶意后门
关键要点
Sophos XOps 在 2023 年 12 月收到报告,发现一款由有效的 Microsoft 硬件发布者证书签名的可执行文件存在误报。文件的版本信息中有语法错误,且其元数据似乎试图冒充合法公司 Thales Group。该文件与名为 LaiXi Android屏幕镜像的产品的安装包有记录。尽管对于 LaiXi 软件的合法性无从考证,但我们确认该文件是恶意后门。利用 Microsoft Windows 硬件兼容性程序WHCP的行为并非第一次;Sophos XOps 在 2022 年曾遭遇类似情况。事件概述
2023 年 12 月,Sophos XOps 收到关于一款由有效 Microsoft 硬件发布者证书签名的可执行文件的误报。然而,该文件的版本信息看起来有些可疑。
文件的元数据显示这是由“Catalog Thales”创建的“目录认证客户端服务”,这可能是试图冒充合法公司 Thales Group 的一种方式。然而,通过对我们内部数据和 VirusTotal 报告的查看,我们发现该文件曾与一款名为 LaiXi Android Screen Mirroring 的产品的 安装包 一起捆绑,LaiXi 是一款“营销软件,可以连接数百部手机并批量控制,自动化完成诸如批量关注、点赞和评论等任务”。
需要指出的是,尽管我们无法证明 LaiXi 软件的合法性截至撰写本文时,其 GitHub 存储库中没有代码,而只包含我们推测是开发者网站的链接,但我们确信我们调查的文件是一个恶意后门。
这并不是 Sophos XOps 首次发现威胁行为者利用 Microsoft Windows 硬件兼容性程序WHCP。在 2022 年 12 月,几乎正好在进行此项研究一年前,我们 报告了攻击者有意部署加密签名的驱动程序,试图禁用 Sophos 端点安全产品。这些驱动程序是 BURNTCIGAR/POORTRY 的变种这是在犯罪论坛上出售的 EDR 杀手,与 LockBit 和 CUBA 等勒索软件团伙有关,并且是使用有效的 WHCP 证书签名的。然而,除了对 WHCP 的滥用之外,我们没有观察到 2023 年 12 月的后门与之前提到的 EDR 杀手有任何联系。
快喵加速器ios手机版正如我们在 2022 年所做的,我们立即向 Microsoft 安全响应中心报告了我们的发现。在验证我们的发现后,Microsoft 团队已将相关文件添加到其 撤销列表作为常规的 Patch Tuesday 过程的一部分更新,参见 CVE202426234。
在撰写本文基于我们对该后门的独立研究时,我们注意到 Stairwell 于 2024 年 1 月已发布了 其自身关于这一主题的文章,基于 Johann Aydinbas 的推文 中的信息也是 2024 年 1 月。我们的研究验证并扩展了
