网络安全研究人员揭示了一个广告软件模块,该模块旨在阻止广告和恶意网站,同时秘密卸载内核驱动程序组件,该组件使攻击者能够在 Windows 主机上以提升的权限运行任意代码。根据 ESET 的新发现,该恶意软件被称为 HotPage,其名称来自同名安装程序(“HotPage.exe”)。ESET研究员Romain Dumont在今天发表的技术分析中表示,安装程序“部署了一个能够将代码注入远程进程的驱动程序,以及两个能够拦截和篡改浏览器网络流量的库。“恶意软件可以修改或替换请求页面的内容,将用户重定向到另一个页面,或根据某些条件在新选项卡中打开新页面。”除了利用其浏览器流量拦截和过滤功能来显示与游戏相关的广告外,它还旨在收集系统信息并将其泄露到与一家名为湖北盾网网络科技有限公司的中国公司相关的远程服务器。这是通过驱动程序实现的,其主要目标是将库注入浏览器应用程序并更改其执行流程以更改正在访问的 URL,或确保将新 Web 浏览器实例的主页重定向到配置中指定的特定 URL。这还不是全部。驱动程序没有任何访问控制列表 (ACL) 意味着具有非特权帐户的攻击者可以利用它来获取提升的权限,并以 NT AUTHORITY\System 帐户的身份运行代码。“这个内核组件无意中为其他威胁打开了大门,让他们以 Windows 操作系统中可用的最高权限级别运行代码:系统帐户,”Dumont 说。由于对这个内核组件的访问限制不当,任何进程都可以与它通信,并利用其代码注入功能来定位任何不受保护的进程。尽管尚不清楚安装程序的确切分发方法,但斯洛伐克网络安全公司收集的证据表明,它已被宣传为网吧的安全解决方案,旨在通过停止广告来改善用户的浏览体验。嵌入式驱动程序值得注意的是,它是由 Microsoft 签名的。据信,这家中国公司已经通过了Microsoft的驾驶员代码签名要求,并设法获得了扩展验证(EV)证书。自 2024 年 5 月 1 日起,它已从 Windows Server 目录中删除。内核模式驱动程序需要经过数字签名才能由 Windows 操作系统加载,这是 Microsoft 建立的重要防御层,用于防止可能被武器化以破坏安全控制并干扰系统进程的恶意驱动程序。也就是说,思科Talos去年7月透露了母语为中文的威胁行为者如何利用Microsoft Windows策略漏洞在内核模式驱动程序上伪造签名。“对这种看起来相当通用的恶意软件的分析再次证明,广告软件开发人员仍然愿意加倍努力来实现他们的目标,”Dumont说。“不仅如此,他们还开发了一个内核组件,其中包含大量操作进程的技术,而且还通过了Microsoft施加的要求,以获取其驱动程序组件的代码签名证书。
