Ring 0 без охраны. Цена входа — $260. А потом ядро Windows становится твоим
NewsMakerОни вошли через главный вход — и навсегда остались на уровне ядра.
Злоумышленники всё чаще используют драйверы с цифровой подписью для скрытых атак на ядро Windows, обходя стандартные защитные механизмы и усиливая свою способность оставаться незаметными. Несмотря на наличие таких систем, как PatchGuard, Driver Signature Enforcement (DSE) и Hypervisor-Protected Code Integrity (HVCI), вредоносные кампании используют доверенные процессы и инфраструктуру, чтобы внедрять код с наивысшими привилегиями — на уровне ядра операционной системы.
Масштабная аналитика команды Group-IB охватила более 620 вредоносных драйверов и свыше 80 скомпрометированных сертификатов, начиная с 2020 года. Исследование показало, что создаётся устойчивая и развитая экосистема, где цифровые подписи и легитимные каналы доверия используются для маскировки вредоносных модулей.
Ядро Windows, работающее в режиме ring 0, даёт злоумышленникам полный контроль над критически важными компонентами: памятью, потоками, работой оборудования. Это делает возможным отключение антивирусов , обход систем обнаружения угроз и внесение изменений в поведение ОС без явных следов.
Один из способов внедрения — использование Windows Hardware Compatibility Program (WHCP) и сертификатов с расширенной проверкой (EV) для подписания драйверов, визуально неотличимых от легитимных. Таким образом вредоносный код легко проникает на уровень ядра, обходя барьеры безопасности. Только в 2022 году специалисты Group-IB зафиксировали более 250 таких драйверов и 34 сертификата, связанных с вредоносными действиями. По данным метаданных, многие из этих случаев ведут к китайским структурам, хотя в продаже участвуют также русскоязычные участники.
Дополнительную сложность обеспечивают загрузчики ядра (kernel loaders), которые используются в качестве первой стадии атаки. Они загружают в память вторичные драйверы, подписанные или даже неподписанные, усиливая скрытность и адаптивность. Некоторые известные вредоносные программы, такие как FiveSys и POORTRY , применялись группировками-вымогателями вроде Cuba и LockBit . Эти загрузчики позволяют извлекать вредоносные компоненты как с командных серверов, так и из локальных хранилищ, избегая обнаружения.
Особую тревогу вызывает подпольная торговля сертификатами EV и аккаунтами WHCP. Их стоимость варьируется от $260 до $15 000, а покупателями часто становятся злоумышленники с невысокими техническими навыками. Сертификаты нередко добываются через фальшивые регистрации компаний или украденные данные, после чего применяются для внедрения вредоносных драйверов, отключающих средства защиты на системе жертвы.
Анализ также выявил, что различные кампании используют одну и ту же инфраструктуру подписания. Например, драйвер RedDriver был замечен как в схемах перехвата браузеров, так и в системах удержания контроля над устройством. С 2020 года наблюдается устойчивое предпочтение WHCP-сертифицированных драйверов вместо обычных EV-сертификатов. Это указывает на стремление атакующих ещё глубже проникать в доверительную цепочку Microsoft.
Слабым местом остаётся и сама процедура подтверждения, необходимая для получения WHCP-сертификата: наличие EV-сертификата, регистрация в Microsoft Partner Center и отсутствие сбоев при проверке драйвера на стабильность. Несмотря на формальные требования от удостоверяющих центров, такие как подтверждение юридического существования компании, реальный контроль зачастую сводится к телефонному звонку, что создаёт лазейки для хорошо подготовленных злоумышленников.
Ситуация требует пересмотра существующих практик — необходимо ужесточить выдачу сертификатов, включая очные проверки, и наладить оперативное взаимодействие между удостоверяющими центрами, производителями операционных систем и специалистами по безопасности. Только так можно остановить рост использования доверенных каналов для проникновения вредоносного кода на уровень ядра Windows.

Злоумышленники всё чаще используют драйверы с цифровой подписью для скрытых атак на ядро Windows, обходя стандартные защитные механизмы и усиливая свою способность оставаться незаметными. Несмотря на наличие таких систем, как PatchGuard, Driver Signature Enforcement (DSE) и Hypervisor-Protected Code Integrity (HVCI), вредоносные кампании используют доверенные процессы и инфраструктуру, чтобы внедрять код с наивысшими привилегиями — на уровне ядра операционной системы.
Масштабная аналитика команды Group-IB охватила более 620 вредоносных драйверов и свыше 80 скомпрометированных сертификатов, начиная с 2020 года. Исследование показало, что создаётся устойчивая и развитая экосистема, где цифровые подписи и легитимные каналы доверия используются для маскировки вредоносных модулей.
Ядро Windows, работающее в режиме ring 0, даёт злоумышленникам полный контроль над критически важными компонентами: памятью, потоками, работой оборудования. Это делает возможным отключение антивирусов , обход систем обнаружения угроз и внесение изменений в поведение ОС без явных следов.
Один из способов внедрения — использование Windows Hardware Compatibility Program (WHCP) и сертификатов с расширенной проверкой (EV) для подписания драйверов, визуально неотличимых от легитимных. Таким образом вредоносный код легко проникает на уровень ядра, обходя барьеры безопасности. Только в 2022 году специалисты Group-IB зафиксировали более 250 таких драйверов и 34 сертификата, связанных с вредоносными действиями. По данным метаданных, многие из этих случаев ведут к китайским структурам, хотя в продаже участвуют также русскоязычные участники.
Дополнительную сложность обеспечивают загрузчики ядра (kernel loaders), которые используются в качестве первой стадии атаки. Они загружают в память вторичные драйверы, подписанные или даже неподписанные, усиливая скрытность и адаптивность. Некоторые известные вредоносные программы, такие как FiveSys и POORTRY , применялись группировками-вымогателями вроде Cuba и LockBit . Эти загрузчики позволяют извлекать вредоносные компоненты как с командных серверов, так и из локальных хранилищ, избегая обнаружения.
Особую тревогу вызывает подпольная торговля сертификатами EV и аккаунтами WHCP. Их стоимость варьируется от $260 до $15 000, а покупателями часто становятся злоумышленники с невысокими техническими навыками. Сертификаты нередко добываются через фальшивые регистрации компаний или украденные данные, после чего применяются для внедрения вредоносных драйверов, отключающих средства защиты на системе жертвы.
Анализ также выявил, что различные кампании используют одну и ту же инфраструктуру подписания. Например, драйвер RedDriver был замечен как в схемах перехвата браузеров, так и в системах удержания контроля над устройством. С 2020 года наблюдается устойчивое предпочтение WHCP-сертифицированных драйверов вместо обычных EV-сертификатов. Это указывает на стремление атакующих ещё глубже проникать в доверительную цепочку Microsoft.
Слабым местом остаётся и сама процедура подтверждения, необходимая для получения WHCP-сертификата: наличие EV-сертификата, регистрация в Microsoft Partner Center и отсутствие сбоев при проверке драйвера на стабильность. Несмотря на формальные требования от удостоверяющих центров, такие как подтверждение юридического существования компании, реальный контроль зачастую сводится к телефонному звонку, что создаёт лазейки для хорошо подготовленных злоумышленников.
Ситуация требует пересмотра существующих практик — необходимо ужесточить выдачу сертификатов, включая очные проверки, и наладить оперативное взаимодействие между удостоверяющими центрами, производителями операционных систем и специалистами по безопасности. Только так можно остановить рост использования доверенных каналов для проникновения вредоносного кода на уровень ядра Windows.