以驱动程式型态存在的恶意蠕虫Netfilter，惊传内含微软签署的凭证，微软公布初步调查结果

防毒业者G-Data恶意软件研究员在6月25日，揭露一款名为Netfilter的驱动程式，但实际上是会连往中国IP地址的蠕虫，而且，这个档案拥有微软的签署。对此，微软也证实确有其事，但强调他们签署档案的凭证并未发现遭到曝露的证据。

之所以G-Data会察觉这样的恶意程式，起因是近期他们的资安警示系统发出疑似是误报的警告，但经研究人员确认后发现，这个有问题的档案是含有微软签章的驱动程式Netfilter。G-Data随即向微软通报此事，微软亦将该上述有问题的档案特征码加入Microsoft Defender，不过，究竟这个驱动程式如何通过微软的档案签章流程？G-Data表示仍不得而知。

由于自Windows Vista之后的操作系统，像驱动程式这种会在核心模式执行的程式码，都必须经过微软的验证并获得签章才会提供给使用者，以确保这些元件的可靠程度，但恶意程式竟然能取得微软的签章，这样的情况很容易让人认为，微软的驱动程式检验流程出现异常，而且很可能是遭到了供应链攻击。

根据G-Data的研究员公布的分析结果，攻击者会将Netfilter植入受害电脑的%Appdata%目录里，并且会在暂存资料夹（%Temp%）产生c.xalm档案，然后下达指令regini.exe x.calm，将Netfilter注册为该电脑的驱动程式。

再者，G-Data反组译Netfilter之后，得到C2中继站的URL字串“hxxp://110.42.4.180:2081/u”，研究人员指出，Netfilter一旦与C2成功连线，便从该中继站抓取组态资讯，该中继站会下达多个指令，像是取得代理服务器设定、IP地址重新导向、执行Ping并提供处理器ID、窜改受害电脑的根凭证，以及Netfilter的档案更新作业等。

究竟Netfilter最主要功能为何？G-Data指出就是重新导向特定的IP地址──他们看到被锁定的IP地址清单，重新导向到45(.)248.10.244:3000。而这份IP地址名单取得的来源是hxxp://110.42.4.180:2081/s。

针对Netfilter的发现，微软获报后也着手进行调查，结果发现，攻击者是透过Windows硬件相容性计划（WHCP）提交恶意软件，该公司停用这个上传Netfilter的账号。这个攻击者可能是锁定中国的游戏产业，似乎并没有针对企业环境而来，该公司亦初步排除是国家级骇客所为，并研判攻击者的目的可能只是为了要在游戏中取得优势。