Το RedDriver δεν έκανε ποτέ BSOD, ίσως κάτι που ακόμη και η AMD, η Nvidia, η Microsoft ή η Intel δεν μπορούν να καυχηθούν
Η Cisco Talos, μεταξύ άλλων, ήταν μία από τις εταιρείες ασφαλείας που ενημέρωσε τη
Microsoft
για πολλούς οδηγούς που χρησιμοποιούσαν παράνομες πιστοποιήσεις προγραμμάτων οδήγησης. Ο τεχνολογικός γίγαντας αναγνώρισε το ζήτημα και ανέστειλε όλους αυτούς τους λογαριασμούς που έκαναν κατάχρηση της εμπιστοσύνης ενός οδηγού με υπογραφή WHQL.
Η Cisco δημοσίευσε επίσης ξεχωριστά τα ευρήματά της σχετικά με ένα κακόβουλο λογισμικό RedDriver που χρησιμοποιούσε την πλατφόρμα φιλτραρίσματος των
Windows
(WFP) της ίδιας της Microsoft, καθώς ήταν πρόγραμμα οδήγησης αεροπειρατή που χρησιμοποιούσε βοηθητικά προγράμματα όπως το HookSignTool για να πλαστογραφήσει υπογραφές. Για όσους δεν γνωρίζουν, το WFP είναι η πλατφόρμα επεξεργασίας κίνησης δικτύου των Windows που διαδέχθηκε αυτή στα Windows XP και τον Windows Server 2003.
Οι αναλυτές κακόβουλου λογισμικού της Cisco εντυπωσιάστηκαν πολύ με τη σταθερότητα του RedDriver, αναγνωρίζοντας την ικανότητα που απαιτείται για τη σχεδίασή του. Στην ενότητα “Οι συντάκτες του RedDriver έχουν εξειδίκευση στην ανάπτυξη οδηγών”, η εταιρεία επαινεί διεξοδικά την ικανότητα της ομάδας ανάπτυξης του οδηγού καθώς ήταν προφανές πόσο καλή ήταν καθώς η εταιρεία ασφαλείας δεν αντιμετώπισε μια φορά BSOD (μπλε οθόνη θανάτου) κατά τη διάρκεια της ανάλυση του οδηγού. Γράφει:
Το RedDriver πιθανότατα αναπτύχθηκε από υψηλά ειδικευμένους παράγοντες απειλών, καθώς η καμπύλη εκμάθησης για την ανάπτυξη κακόβουλων προγραμμάτων οδήγησης είναι απότομη. Η σύνταξη προγραμμάτων οδήγησης Windows απαιτεί πολύ συγκεκριμένο σύνολο δεξιοτήτων και βαθιά γνώση του λειτουργικού συστήματος Windows. Για παράδειγμα, οι οδηγοί είναι πολύ επιρρεπείς σε τρακάρισμα. Ωστόσο, κατά τη διάρκεια της ανάλυσής μας, δεν συναντήσαμε κολλήματα ή «μπλε οθόνες θανάτου» (BSOD), κάτι που μιλάει για την ικανότητα των συγγραφέων. Ένα λανθασμένα γραμμένο πρόγραμμα οδήγησης μπορεί να προκαλέσει ζημιά ή συντριβή σε ένα σύστημα ακόμα και αν δεν υπάρχει κακόβουλη πρόθεση.
Αν και δεν γνωρίζουμε την ένταση ή το άγχος της δοκιμής στην οποία υποβλήθηκε ο οδηγός, οι προγραμματιστές του RedDriver μπορεί να είναι σε θέση να καυχηθούν ότι εταιρείες όπως η AMD, η
Nvidia
, η Intel ή ακόμα και η ίδια η Microsoft, ενδέχεται να αποτύχουν να δημιουργήσουν τέτοια προγράμματα οδήγησης. Πέρα από τα αστεία, ένα πράγμα που είναι ξεκάθαρο είναι ότι η Cisco, η οποία πιθανότατα έχει αναλύσει πληθώρα τέτοιων κακόβουλων προγραμμάτων οδήγησης, πιστεύει ότι το RedDriver είναι ένα από τα πιο επιδέξια κατασκευασμένα εκεί έξω.
Πέρα από την πτυχή της σταθερότητας, γενικά, επίσης, η Cisco επαινεί τους συντάκτες του προγράμματος οδήγησης κακόβουλου λογισμικού RedDriver, σημειώνοντας ότι η ενσωμάτωση με το WFP δεν είναι εύκολη υπόθεση και επίσης αναγνώρισε ότι οι παράγοντες απειλών χρησιμοποιούσαν εξελιγμένα εργαλεία αυτοματισμού όπως ο Jenkins:
Επιπλέον, το WFP είναι μια πολύπλοκη πλατφόρμα για εφαρμογή και γενικά απαιτεί σημαντική εμπειρία ανάπτυξης οδηγών για να το κατανοήσουμε πλήρως.
Οι συγγραφείς επέδειξαν επίσης εξοικείωση ή εμπειρία με τους κύκλους ζωής ανάπτυξης λογισμικού, ένα άλλο σύνολο δεξιοτήτων που απαιτεί προηγούμενη εμπειρία ανάπτυξης. Για παράδειγμα, κατά την ανάπτυξη της αλυσίδας μόλυνσης, οι συγγραφείς χρησιμοποίησαν το Jenkins, ένα εργαλείο που χρησιμοποιείται συνήθως από προγραμματιστές λογισμικού για να αυτοματοποιήσουν την ανάπτυξη, τη δημιουργία και τη δοκιμή λογισμικού.
Ένας άλλος δείκτης της εμπειρίας ανάπτυξης των συγγραφέων είναι η χρήση συγκεκριμένων ενοτήτων εργαλείων ανοιχτού κώδικα. Αντί να χρησιμοποιούν ολόκληρη τη βάση κώδικα αυτών των εργαλείων, οι συντάκτες του RedDriver δανείζονται και ενσωματώνουν τμήματα του πηγαίο κώδικα σε διαφορετικά στάδια της αλυσίδας μόλυνσης.
Μπορείτε να βρείτε περισσότερες τεχνικές λεπτομέρειες για το RedDriver στο Cisco’s
ανάρτηση
.
