Dua sertifikat penandatanganan kode NVIDIA adalah bagian dari serangan ransomware Lapsus$ Group 23 Februari yang diderita perusahaan – sertifikat yang sekarang digunakan untuk menandatangani malware sehingga program jahat dapat melewati perlindungan keamanan di mesin Windows.
Serangan 23 Februari gergaji 1TB data bleed dari pembuat unit pemrosesan grafis (GPU): tangkapan yang mencakup data skema perangkat keras, firmware, driver, akun email, dan hash kata sandi untuk lebih dari 71.000 karyawan, dan banyak lagi. Peneliti
Security mencatat minggu lalu bahwa binari berbahaya telah ditandatangani dengan sertifikat curian agar terlihat seperti program NVIDIA yang sah, dan bahwa sertifikat tersebut telah muncul di database sampel malware VirusTotal.
Biner yang ditandatangani terdeteksi sebagai Mimikatz – alat untuk gerakan lateral yang memungkinkan penyerang menghitung dan melihat kredensial yang disimpan di sistem – dan untuk malware dan alat peretasan lainnya, termasuk suar Cobalt Strike, pintu belakang, dan remote a akses trojan (RAT) (termasuk Quasar RAT [VirusTotal] dan driver Windows [VirusTotal]).
Gist yang berisi permintaan pencarian @virustotal Enterprise untuk menemukan sampel yang ditandatangani dengan sertifikat NVIDIA yang bocor#NvidiaLeaks#LAPSUS
berdasarkan milik saya dan @GossiTheDog bekerjahttps://t.co/JxnbrLSjVz pic.twitter.com/KYRKdYcF8R
— Florian Roth ️ (@cyb3rops) 5 Maret 2022
Kedaluwarsa Tapi Masih Diakui Sertifikat: 'Ancaman Signifikan sudah kedaluwarsa, tetapi sertifikat yang dicuri ditandatangani mereka masih dikenali oleh Windows, yang memungkinkan pengandar yang ditandatangani dengan sertifikat untuk dimuat di sistem operasi, menurut laporan.
Menurut peneliti keamanan Kevin Beaumont dan Will Dormann, sertifikat yang dicuri menggunakan nomor seri ini:
< ul>
“Menandatangani sertifikat adalah kunci yang digunakan komputer untuk memverifikasi kepercayaan pada perangkat lunak,” katanya kepada Threatpost melalui email pada hari Senin. “Memvalidasi tanda tangan kode adalah langkah penting dalam mengamankan rantai pasokan kode global, dan melindungi semua orang dari rata-rata konsumen yang menjalankan Pembaruan Windows (di mana tanda tangan divalidasi secara otomatis) hingga pengembang yang menggunakan komponen perangkat lunak dalam proyek yang lebih besar (di mana tanda tangan diharapkan diperiksa sebagai bagian dari proses CI)..”
Mike Parkin, insinyur teknis senior di penyedia remediasi risiko siber perusahaan Vulcan Cyber, setuju bahwa pembuat malware dapat menggunakan sertifikat yang sah untuk menandatangani kode mereka “dapat memiliki konsekuensi yang luas.
Situasi yang mengerikan agak berkurang karena untuk sertifikat yang dicuri telah kedaluwarsa, katanya dalam email pada hari Senin, tapi itu bukan solusi yang sempurna. “Ini akan memudahkan aplikasi anti-malware untuk mengidentifikasi kode berbahaya yang ditandatangani dengan sertifikat ini, tetapi masih ada tantangan bagi sistem operasi Microsoft untuk menerimanya sebagai valid bahkan setelah kedaluwarsanya,” katanya. install base – teknologinya muncul di mana-mana, mulai dari game, penambang kripto, hingga komputasi super industri dan ilmiah – serangan rantai pasokan yang menargetkan pengguna dapat memiliki “implikasi yang sangat besar”. dunia: “Beberapa memperkirakan kripto sebagai konsumsi lebih dari setengah persen dari pembangkit listrik tahunan dunia sendiri,” katanya, “sebagian besar terkait dengan prosesor Nvidia yang haus daya yang bergantung pada perangkat lunak Nvidia yang ditandatangani oleh kunci ini.”
NVIDIA's perangkat keras sangat penting untuk game dan produksi media, serta kecerdasan buatan (AI) dan pembelajaran mesin berbasis cloud (ML) yang menggerakkan segala hal mulai dari asisten suara, pemrosesan gambar dan video (termasuk moderasi otomatis), dan sistem kontrol kualitas manufaktur, Bisson menunjukkan. alur kerja pengembangan perangkat lunak dengan sertifikat baru. “Otoritas sertifikat hulu dapat mencabut sertifikat lama Nvidia untuk memblokir pemasangan perangkat lunak yang berpotensi disusupi dengan sertifikat tersebut,” jelasnya. “Seperti biasa, deteksi intrusi dan audit kontrol akses sangat penting untuk mencegah serangan intrusi baru, sambil menegakkan komitmen yang ditandatangani dan pemindaian kode otomatis yang berkelanjutan untuk rahasia, kerentanan ketergantungan, bersama dengan pengujian manual adalah langkah solid untuk memastikan keamanan perangkat lunak mereka.”
How untuk Memblokir Signed Malware
David Weston, direktur keamanan perusahaan dan OS di Microsoft, tweeted pada hari Kamis bahwa admin dapat mencegah Windows memuat driver yang diketahui dan rentan dengan mengonfigurasi kebijakan Kontrol Aplikasi Windows Defender untuk mengontrol driver NVIDIA mana yang dapat dimuat.
Seharusnya, sebenarnya, jadilah pilihan pertama admin, tulisnya. Kebijakan
WDAC bekerja pada 10-11 tanpa persyaratan perangkat keras hingga ke SKU rumah meskipun beberapa kesalahan informasi FUD yang saya lihat jadi itu harus menjadi pilihan pertama Anda. Buat kebijakan dengan Wizard, lalu tambahkan aturan penolakan atau izinkan versi Nvidia tertentu jika Anda memerlukan
— David Weston (DWIZZZLE) (@dwizzzleMSFT) 3 Maret 2022
David Weston, wakil presiden Microsoft untuk Keamanan dan Perusahaan OS, melanjutkan dengan tweet atribut yang akan diblokir atau diizinkan.
Ini semua atribut yang dapat Anda blokir atau izinkan: pic.twitter.com/3BV3QoMuMX
— David Weston (DWIZZZLE) (@dwizzzleMSFT) 3 Maret 2022
Sayangnya, perbaikan WDAC Microsoft tidak praktis solusi untuk sebagian besar pengguna Windows, yang tidak melek secara teknis, Vulcan Cyber's Parkin menunjukkan.
Pendekatan yang lebih baik adalah Microsoft mengenali sertifikat sebagai kedaluwarsa dan tidak lagi menerimanya sebagai sah, katanya kepada Threatpost.
Doxxed Emails, Password Hashes & More
Pada 27 Februari, Lapsus$ mengklaim bahwa mereka telah berada di sistem NVIDIA selama seminggu, bahwa geng tersebut tidak disponsori oleh negara dan "tidak terlibat dalam politik SAMA SEKALI" – klarifikasi yang tampaknya penting bagi penjahat dunia maya sekarang karena zona perang dunia maya Rusia/Ukraina sedang memanas.
Rabu lalu, 2 Maret, situs pemberitahuan email yang disusupi, Have I Been Pwned, memasang peringatan tentang 71.335 email karyawan NVIDIA dan NTLM hash kata sandi telah bocor pada 23 Februari, "banyak di antaranya kemudian diretas dan diedarkan dalam komunitas peretasan". pembuat unit pemrosesan grafis belum mengkonfirmasi atau menyangkal – tidak masuk akal. Dalam laporan triwulanan terbaru (PDF), NVIDIA hanya mencantumkan tenaga kerja 18.975.
Tapi, mengingat bahwa laporan awal Telegraph mengutip orang dalam yang mengatakan bahwa intrusi "benar-benar membahayakan" sistem internal perusahaan, bisa jadi data yang dicuri termasuk mantan karyawan.
Lapsus$ merilis sebagian dari data curian yang sangat rahasia, termasuk kode sumber, driver GPU, dan dokumentasi pada produk pengontrol logika cepat NVIDIA, juga dikenal sebagai Falcon dan Lite Hash Rate, atau LHR GPU.
Lapsus$ meminta $1 juta dan persentase biaya yang tidak ditentukan dari NVIDIA untuk bypass.
Lapsus$ Lite Hash Rate juga menuntut agar NVIDIA membuka sumber drivernya, jangan sampai Lapsus$ melakukannya sendiri.
Siapa Grup Lapsus$?
Lapsus$ Grup muncul tahun lalu. Mungkin paling terkenal karena serangan bulan Desember terhadap Kementerian Kesehatan Brasil yang melumpuhkan beberapa entitas online, berhasil menghapus informasi tentang data vaksinasi COVID-19 warga serta mengganggu sistem yang mengeluarkan sertifikat vaksinasi digital.
Pada bulan Januari, Lapsus$ juga melumpuhkan raksasa media Portugis Impresa.
Lapsus$ juga baru-baru ini merilis apa yang konon merupakan kumpulan besar kode sumber berpemilik yang dicuri dari Samsung, vx-underground melaporkan.
030722 16:06 UPDATE: Menambahkan komentar dari Casey Bisson dan Mike Parkin.
Daftar Hari Ini untuk Eksploitasi Log4j: Pelajaran yang Dipetik dan Praktik Terbaik Pengurangan Risiko – acara LIVE Threatpost yang dijadwalkan pada Kamis, 10 Maret pukul 14:00 ET. Bergabunglah dengan pakar kode Sonatype Justin Young saat ia membantu Anda mempertajam keterampilan berburu kode untuk mengurangi waktu diam penyerang. Pelajari mengapa Log4j masih berbahaya dan bagaimana SBOM masuk ke dalam keamanan rantai pasokan perangkat lunak. Daftar Sekarang untuk acara GRATIS satu kali ini, Disponsori oleh Sonatype.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
