公布日期：2023-07-17 發布單位： 資訊科  
思科威脅情報團隊Talos、資安業者Sophos指出，有中國駭客濫用開源工具竄改核心驅動程式的簽章日期，用來載入使用過期憑證簽署，或是沒有經過驗證的驅動程式，從而操縱受害電腦。

由於微軟在Windows 10 1607版調整的驅動程式簽署政策當中，對於舊版驅動程式相容性提供例外放行的情況，也就是在BIOS的安全開機功能關閉的情況下，對於使用2015年7月29日之前頒發的證書簽章的驅動程式，將不受上述政策規範，駭客便濫用上述的相容性政策，利用名為HookSignTool、FuckCertVerifyTimeValidity的工具，來竄改惡意驅動程式的簽章日期。

思科看到數千個帶有此種簽章的惡意驅動程式，並舉出其中一種能挾持受害電腦瀏覽器的RedDriver，駭客鎖定了中國網路咖啡廳而來，此惡意驅動程式利用Windows過濾平臺（WFP）攔截瀏覽器的流量。Sophos則指出，這類驅動程式被用於破壞目標電腦的資安防護系統，該公司的端點防護產品也是遭到鎖定的目標。研究人員總共找到約133個惡意驅動程式，駭客主要的用途可區分2種，除了讓端點資安防護失效，也有將其作為Rootkit的情況。

reference
iThome