调查与缓解恶意驱动 | MSRC 博客

微软安全响应中心

安全形势持续快速演变，威胁行为者不断寻找新的创新方法，通过多种向量获取环境访问权限。随着行业越来越接近采用零信任安全态势和广泛的分层防御，我们致力于与社区分享威胁情报，揭示攻击者的最新技术和漏洞利用方式，以便行业更好地保护自身。

微软正在调查一个在游戏环境中分发恶意驱动的恶意行为者。该行为者通过 Windows 硬件兼容性计划（WHCP）提交驱动程序进行认证。这些驱动由第三方构建。我们已暂停该账户，并审查其提交内容以寻找其他恶意软件迹象。

无证书暴露证据

我们未发现 WHCP 签名证书暴露的证据。基础设施未受损害。根据我们的零信任和分层防御安全态势，我们通过 Microsoft Defender for Endpoint 内置了对该驱动及相关文件的检测和阻止功能。我们还将这些检测分享给其他 AV 安全供应商，以便他们主动部署检测。

该行为者的活动仅限于中国游戏行业，似乎不针对企业环境。目前我们不将其归因于国家行为者。行为者的目标是使用驱动伪造地理位置，以欺骗系统并从任何地方玩游戏。恶意软件使他们能够在游戏中获得优势，并可能通过键盘记录器等常见工具危害其他玩家的账户。

重要的是要理解，此攻击中使用的技术发生在利用后阶段，意味着攻击者必须已经获得管理员权限才能运行安装程序更新注册表，并在下次系统启动时安装恶意驱动，或说服用户代其执行。

我们将分享关于如何改进合作伙伴访问策略、验证和签名流程以增强防护的更新。客户无需采取额外行动，只需遵循安全最佳实践并部署防病毒软件，如 Windows Defender for Endpoint。

就像我们的防御者一样，对手也富有创造力和决心。因此，微软以“假设被入侵”的心态和分层防御来处理安全。我们与行业合作伙伴不懈合作，确保整个社区了解我们观察到或通过负责任披露报告的新攻击工具、战术和程序。通过分享本报告中的信息，我们提高对这些技术的认识，以便在整个行业构建更多防护，并增加攻击者的难度。

关于 Windows 硬件兼容性计划的更多信息

Microsoft Defender 和 Windows 安全团队与驱动发布者密切合作，在恶意软件利用之前检测安全漏洞。Microsoft Defender for Endpoint 的 UEFI 扫描器能够扫描这些攻击发生的操作系统以下层面，以增加对这些低级攻击的检测和保护。我们还通过 Windows Update 构建自动化机制，阻止易受攻击的驱动版本，并根据生态系统和合作伙伴参与保护客户免受漏洞利用，因为这是一个挑战整个行业的问题。

我们的安全团队继续与 OEM 和驱动发布者紧密合作，分析和修补任何已知漏洞，并在设备发货前更新受影响设备。一旦驱动发布者修补漏洞，所有受影响驱动的更新将通过 Windows Update（WU）平台推送。一旦受影响设备收到最新安全补丁，使用 Microsoft Defender for Endpoint 攻击面减少（ASR）和 Microsoft Windows Defender 应用程序控制（WDAC）技术，在 Windows 10 设备上阻止已确认安全漏洞的驱动，以保护设备免受利用。更多信息可通过我们的 Microsoft 推荐驱动阻止规则文档获取。

入侵指标

除了为 Microsoft Defender 防病毒创建反恶意软件签名，与我们的 AV 合作伙伴分享关键检测指南外，我们还分享这些哈希和 IP 地址供其他防御者利用。

已知 C2 IP 地址

• 110.42.4[.]180
• 45.113.202[.]180

已知恶意文件

以下是 Microsoft 已知的恶意 SHA256 文件哈希列表： 04a269dd0a03e32e5b2a1c8ab0768791962e040d080d44dc44dab01dd7954f2b
0856a1da15b2b3e8999bf9fc51bbdedd4051e21fab1302e2ce766180b4931d86
0c42fe45ffa9a9c36c87a7f01510a077da6340ffd86bf8509f02c6939da133c5
…（完整列表见原文）