Sommario
RedDriver è un driver malevolo non documentato che utilizza certificati rubati per falsificare i timestamp delle firme, aggirando efficacemente le politiche di enforcement delle firme dei driver all’interno di Windows. Il suo nome deriva dalla stringa “RedDriver” contenuta nel binario e nel nome del file nel suo percorso PDB: “E:\\Project\\PTU\\PTU\\Bin\\x64\\Release\\RedDriver.pdb”. RedDriver è un componente critico di una catena di infezione multi-stadio che alla fine dirotta il traffico del browser e lo reindirizza a localhost (127.0.0.1).
La catena di infezione di RedDriver
La catena di infezione di RedDriver inizia con un singolo eseguibile impacchettato con Ultimate Packer for eXecutables (UPX), chiamato “DnfClientShell32.exe”. La sezione delle risorse del binario DnfClientShell32 contiene due DLL, una chiamata “DnfClient” e un’altra, opportunamente chiamata “ReflectiveLoader32”. Una volta eseguito, DnfClientShell32 utilizza il binario ReflectiveLoader32 nella sua sezione di risorse per iniettare la risorsa DnfClient in un processo remoto. Dopo che il processo di iniezione è completato, DnfClient inizia le comunicazioni crittografate con l’infrastruttura di comando e controllo (C2) per avviare il download del payload RedDriver.
RedDriver: un driver malevolo
Durante la nostra ricerca su HookSignTool, Cisco Talos ha osservato il dispiegamento di un driver malevolo non documentato che utilizza certificati rubati per falsificare i timestamp delle firme, aggirando efficacemente le politiche di enforcement delle firme dei driver all’interno di Windows. Il suo nome deriva dalla stringa “RedDriver” contenuta nel binario e nel nome del file nel suo percorso PDB: “E:\\Project\\PTU\\PTU\\Bin\\x64\\Release\\RedDriver.pdb”. RedDriver è un componente critico di una catena di infezione multi-stadio che alla fine dirotta il traffico del browser e lo reindirizza a localhost (127.0.0.1).
Gli autori di RedDriver
Basandoci sui codici di lingua nei metadati dei binari all’interno della catena di infezione di RedDriver, e su diversi altri fattori descritti di seguito, valutiamo con alta fiducia che gli autori di RedDriver siano parlanti nativi di lingua cinese. Mentre l’intento dietro RedDriver non è chiaro, non è insolito che i cyber cafe in Cina siano l’obiettivo di gruppi di cybercriminali con base in Cina.
RedDriver è un esempio reale di questo strumento utilizzato efficacemente in un contesto malevolo. Basandoci sulla nostra ricerca su HookSignTool, RedDriver non è l’unica famiglia di driver malevoli che utilizza strumenti di falsificazione del timestamp. È ragionevole aspettarsi che la falsificazione del timestamp della firma vedrà un uso continuato in tutto il panorama delle minacce, poiché i benefici del dispiegamento di driver malevoli possono diventare sempre più attraenti per gli attori delle minacce.
