Untersuchung von Fivesys – der nicht autorisierten, von Microsoft ausgestellten digitalen Signatur

Veröffentlicht: 2022-12-23

Inhalt

Was ist ein Rootkit?
Was ist das Fivesys-Rootkit?
Wie hat es die digitale Signatur von Microsoft erhalten?
Wie wird man Rootkits wie Fivesys los?
- 1. Verwenden Sie eine Rootkit-Entfernungssoftware.
- 2. Führen Sie einen Startzeit-Scan durch.
- 3. Löschen Sie das Gerät und installieren Sie das Betriebssystem neu.
Was können wir tun, um uns vor Rootkits zu schützen?
Einpacken

Untersuchung der nicht autorisierten, von Microsoft ausgestellten digitalen Signatur von Fivesys

Hacker haben sich ein Rootkit oder bösartige Software zunutze gemacht, die unbefugten Zugriff auf ein Computersystem gewährt , das irgendwie das digitale Gütesiegel von Microsoft erhalten hat. Diese alarmierende Entdeckung wirft wichtige Fragen darüber auf, wie anfällig wir für bösartige Software sind. Sehen wir uns dieses Rootkit genauer an und wie es die Sicherheitsprotokolle von Microsoft umgangen hat.

Was ist ein Rootkit?

Rootkits sind schädliche Softwaretools, mit denen Cyberkriminelle die Kontrolle über Computersysteme erlangen können. Diese Tools ermöglichen es Angreifern, Malware und böswillige Aktivitäten zu verbergen oder sogar unbemerkt auf ein System zuzugreifen.

Rootkits waren vor mehr als einem Jahrzehnt die Spitzenprädatoren der Cyberkriminalität. Diese verdeckten Computerprogramme wurden entwickelt, um Angreifern einen ununterbrochenen Halt auf den Computern der Opfer zu verschaffen und gleichzeitig bösartige Aktivitäten vor dem Betriebssystem und Anti-Malware-Lösungen zu verbergen.

Die mit Windows Vista eingeführten Sicherheitsmaßnahmen haben diese Eindringlinge, die im Kernel des Betriebssystems leben, vertrieben, aber sie tauchen gelegentlich wieder auf.

Rootkits können Backdoors, Keylogger, datenstehlende Malware, bösartige Skripte und andere ausgeklügelte Methoden enthalten, die es dem Eigentümer oder Administrator des Systems erschweren, sie zu erkennen. Durch das Ausnutzen von Schwachstellen können sie die Kontrolle über ein System übernehmen, ohne dass Benutzeranmeldeinformationen erforderlich sind, und auf vertrauliche Informationen zugreifen, die auf ihnen gespeichert sind.

Als solche stellen sie eine gefährliche Bedrohung für die Cybersicherheit dar, die nicht auf die leichte Schulter genommen werden darf . Da Rootkit-Bedrohungen immer fortschrittlicher und ausgeklügelter werden, wird es für Organisationen und Einzelpersonen immer wichtiger, sich über die neuesten verfügbaren Abwehrmechanismen auf dem Laufenden zu halten und ihre Systeme regelmäßig zu aktualisieren, um sich vor solchen Angriffen zu schützen.

Was ist das Fivesys-Rootkit?

Laut einem aktuellen Bericht des Cybersicherheitsunternehmens Bitdefender haben E-Kriminelle ein Rootkit namens „FiveSys“ verwendet, das auf unheimliche Weise eine E-Signatur von Microsoft erhalten hat.

Das bösartige Programm gewährte Angreifern angeblich „praktisch unbegrenzte Privilegien“ auf infizierten Systemen, und Hacker nutzten es, um Online-Spieler für den Diebstahl von Zugangsdaten und die Entführung von Käufen im Spiel ins Visier zu nehmen. Laut Forschern könnte „FiveSys“ auch auf andere Arten von Datendiebstahl umgeleitet werden.

Aufgrund der Einbeziehung eines legitim aussehenden WHQL-Treiberzertifikats (Microsoft Windows Hardware Quality Labs Testing) konnte das Rootkit FiveSys Zugriff auf Zielsysteme erlangen.

WQOS generiert eine einzigartige digitale Signatur, die es ermöglicht, zertifizierte Treiber über das offizielle Windows Update-Programm auf einem Windows-Computer zu installieren, was den Endbenutzern Vertrauen gibt. Einmal geladen, gewährt das Rootkit seinen Erstellern nahezu unbegrenzte Privilegien.

Bitdefender, eine Sicherheitsfirma, entdeckte die Zunahme bösartiger Treiber mit gültigen elektronischen Signaturen. Nach Angaben des Unternehmens ermöglicht das fragliche Rootkit Angreifern, die Sicherheit zu umgehen und Zugriff auf und Kontrolle über ein Zielsystem zu erlangen, indem HTTP- und HTTPS-Verkehr zu Domänen auf von Angreifern kontrollierten Proxy-Servern umgeleitet wird.

Das kompromittierte WHQL-Zertifikat ähnelt dem des Netfilter-Rootkits, das Anfang dieses Jahres entdeckt wurde. Fivesys ist das zweite Rootkit, das ein Microsoft-Zertifikat verwendet, und Bitdefender prognostiziert, dass weitere Angriffe legitime Treiberzertifikate verwenden werden.

Laut Bitdefender hat FiveSys seinen Ursprung in China und zielt hauptsächlich auf chinesische Online-Spieler ab. Laut der Sicherheitsfirma besteht das ultimative Ziel darin, die Kontrolle über die Zugangsdaten in den Spielen zu erlangen, um Einkäufe im Spiel zu tätigen. Fivesys wurde außerhalb Chinas noch nicht in freier Wildbahn gesichtet.

Die Zufälligkeit, mit der dieses Rootkit kompromittierten Datenverkehr umleitet, erschwert seine Entfernung. Um potenzielle Takedown-Versuche zu erschweren, enthält das Rootkit eine Liste von 300 Domains auf der TLD „.xyz“, die anscheinend zufällig generiert und in verschlüsselter Form in der Binärdatei gespeichert werden.

Um sich selbst zu schützen, verwendet das Rootkit eine Vielzahl von Strategien, darunter das Verhindern der Möglichkeit, die Registrierung zu bearbeiten, und das Verhindern der Installation anderer Rootkits und Malware verschiedener Gruppen.

Aufgrund des zufälligen Musters ist das Identifizieren und Herunterfahren der Domänen schwierig. Bitdefender seinerseits kontaktierte Microsoft sofort bezüglich der Verwendung des WHQL-Treiberzertifikats. Microsoft hat die E-Signatur schnell widerrufen.

Wie hat es die digitale Signatur von Microsoft erhalten?

Es ist bekannt, dass Cyberkriminelle gestohlene digitale Zertifikate verwenden, aber in diesem Fall konnten sie sich ein gültiges Zertifikat beschaffen. Noch ist unklar, wie Cyberkriminelle an ein gültiges Zertifikat gelangen konnten.

Digitale Signaturen sind Algorithmen, die Unternehmen und andere große Organisationen aus Sicherheitsgründen verwenden. Elektronische Signaturen erzeugen einen „virtuellen Fingerabdruck“, der mit bestimmten Entitäten verknüpft ist, und werden verwendet, um ihre Vertrauenswürdigkeit zu überprüfen. Als Sicherheitsmaßnahme verwendet Microsoft einen digitalen Signaturprozess, um Programme abzulehnen, die scheinbar nicht aus vertrauenswürdigen Quellen stammen.

Die Sicherheitsprotokolle des Unternehmens scheinen jedoch dem „FiveSys“-Rootkit und seinen Cyberkriminellen nicht gewachsen zu sein, denen es gelang, ihr Schadprogramm mit dem digitalen Genehmigungsstempel von Microsoft signieren zu lassen. Es ist unklar, wie sie dies erreicht haben.

Es hätte zur Validierung eingereicht werden können und irgendwie die Prüfungen bestanden. Obwohl die Anforderungen für digitale Signaturen die meisten Rootkits erkennen und stoppen, sind sie nicht narrensicher. Es ist unklar, wie FiveSys verbreitet wird, aber Forscher glauben, dass es mit geknackten Software-Downloads gebündelt ist.

Nach der Installation leitet das FiveSys-Rootkit den Internetverkehr an einen Proxy-Server um, indem es ein benutzerdefiniertes Root-Zertifikat installiert, damit der Browser nicht vor der unbekannten Identität des Proxys warnt; Es verhindert auch, dass andere Malware auf die Treiber schreibt, höchstwahrscheinlich um zu verhindern, dass andere Cyberkriminelle das kompromittierte System ausnutzen.

Laut Angriffsanalyse wird das FiveSys-Rootkit bei Cyberangriffen auf Online-Spieler verwendet, um Anmeldeinformationen zu stehlen und Einkäufe im Spiel zu entführen.

Aufgrund der Popularität von Online-Spielen kann viel Geld im Spiel sein – nicht nur, weil Bankinformationen mit Konten verknüpft sind, sondern auch, weil prestigeträchtige virtuelle Gegenstände beim Verkauf große Summen einbringen können, was bedeutet, dass Angreifer den Zugang zum Stehlen und Verkaufen ausnutzen könnten diese Gegenstände.

Derzeit richten sich die Angriffe gegen Spieler in China, wo die Angreifer nach Ansicht von Forschern auch ansässig sind.

Wie wird man Rootkits wie Fivesys los?

Das Entfernen von Rootkits wie Fivesys kann eine entmutigende und komplexe Aufgabe sein. Die meisten Antivirus-Lösungen erkennen diese bösartigen Programme nicht, daher ist es wichtig, proaktive Maßnahmen gegen sie zu ergreifen. Der erste Schritt besteht darin, einen gründlichen Scan Ihres Computers durchzuführen, der Rootkits erkennt und eliminiert. Befolgen Sie als Nächstes die folgenden Schritte:

1. Verwenden Sie eine Rootkit-Entfernungssoftware.

Verlassen Sie sich nicht auf Windows Defender oder andere integrierte Sicherheitssoftware, da die meisten Rootkits wichtige Schutzmaßnahmen umgehen können. Verwenden Sie spezielle Software wie Avast One für vollständigen Schutz. Avast kombiniert das weltweit größte Bedrohungserkennungsnetzwerk mit maschinell lernendem Malware-Schutz in einem einzigen, leichtgewichtigen Tool, das Rootkits erkennen und entfernen und alle Arten zukünftiger Online-Bedrohungen abwehren kann.

2. Führen Sie einen Startzeit-Scan durch.

Moderne Malware verwendet ausgefeilte Techniken, um die Erkennung durch Antivirensoftware zu vermeiden. Rootkits auf einem Gerät, auf dem ein Betriebssystem ausgeführt wird, können automatisierte Antivirus-Scans überlisten.

Wenn ein Antivirenprogramm das Betriebssystem auffordert, eine bestimmte Malware-Datei zu öffnen, kann das Rootkit den Datenfluss ändern und stattdessen eine harmlose Datei öffnen. Sie können auch den Aufzählungscode einer Malware-Datei ändern, der Informationen über Malware speichert und weitergibt und verhindert, dass sie in einen Scan aufgenommen wird.

Rootkits werden während des Startvorgangs Ihres Computers durch Scans beim Booten erkannt. Der Vorteil eines Boot-Time-Scans besteht darin, dass das Rootkit normalerweise noch inaktiv ist und sich nicht in Ihrem System verstecken kann.3.

3. Löschen Sie das Gerät und installieren Sie das Betriebssystem neu.

Wenn Antivirensoftware und ein Scan beim Booten das Rootkit nicht entfernen können, versuchen Sie, Ihre Daten zu sichern, Ihr Gerät zu löschen und von Grund auf neu zu installieren. Dies ist manchmal die einzige Option, wenn ein Rootkit auf Boot-, Firmware- oder Hypervisor-Ebene ausgeführt wird.

Zunächst müssen Sie verstehen, wie Sie eine Festplatte formatieren und klonen, um Ihre wichtigen Dateien zu sichern. Obwohl Sie möglicherweise das Hauptlaufwerk C: löschen müssen, können Sie die meisten Ihrer Daten behalten. Dies ist die letzte Option zum Entfernen eines Rootkits.

Häufige Aktualisierungen von Anti-Malware-Software tragen auch dazu bei, Ihr System vor neuen Einbruchsversuchen zu schützen. Mit diesen Techniken sollte der Umgang mit bestehenden und neuen Rootkits wie Fivesys viel einfacher werden.

Was können wir tun, um uns vor Rootkits zu schützen?

Rootkits sind eine ernsthafte Sicherheitsbedrohung, die schwer zu erkennen und zu entfernen sein kann, aber es gibt vorbeugende Maßnahmen, die ergriffen werden können, um die Wahrscheinlichkeit zu verringern. Wenn Sie beispielsweise Ihr Betriebssystem und Ihre Software auf dem neuesten Stand halten, stellen Sie sicher, dass Sie nicht anfällig für bekannte Angriffsvektoren für die Rootkit-Installation werden. Gutes Patch-Management ist hier der Schlüssel, und Antivirensoftware ist ebenfalls ein Muss – bleiben Sie mit Virendefinitionen auf dem neuesten Stand, damit Angreifer weniger Optionen haben.

Seien Sie auch vorsichtig, wenn Sie etwas herunterladen – stellen Sie immer sicher, dass es aus zuverlässigen Quellen stammt und gute Bewertungen hat. Deaktivieren Sie nicht signierte Treiber oder ausführbare Dateien, da diese anfällige Einstiegspunkte für Rootkits sein können. Schließlich hilft eine robuste Firewall oder ein Webfilter-Proxy dabei, Angreifer zu blockieren, die versuchen, Schwachstellen in ungepatchten Systemen auszunutzen. All diese vorbeugenden Maßnahmen geben Ihnen die besten Chancen, Rootkit-Infektionen einzudämmen.

Während das Rootkit derzeit verwendet wird, um Anmeldeinformationen von Spielkonten zu stehlen, könnte es in Zukunft gegen andere Ziele eingesetzt werden. Indem Sie jedoch ein paar einfache Cybersicherheitsvorkehrungen treffen, können Sie vermeiden, Opfer dieser oder ähnlicher Angriffe zu werden.

Laden Sie Software sicherheitshalber nur von der Website des Anbieters oder von vertrauenswürdigen Quellen herunter. Darüber hinaus können moderne Sicherheitslösungen Malware, einschließlich Rootkits, erkennen und deren Ausführung verhindern.

Es ist wichtig, Maßnahmen zu ergreifen, um sich vor bösartiger Software wie FiveSys zu schützen. Stellen Sie sicher, dass Ihre Systeme mit den neuesten Patches auf dem neuesten Stand sind – dies hilft Ihnen, sich vor bekannten Bedrohungen wie dieser zu schützen.

Verwenden Sie außerdem eine zuverlässige Antivirensoftware, um Ihre Computersysteme auf verdächtige Aktivitäten oder bösartige Software zu scannen. Achten Sie schließlich auf Phishing-Versuche; Klicken Sie nicht auf Links und öffnen Sie keine Anhänge aus unbekannten Quellen, da diese Malware wie Kovter enthalten könnten.

Einpacken

Die „Patch Tuesday“-Updates von Microsoft entdecken und patchen ständig neue Zero-Day-Schwachstellen. Apple beeilte sich Anfang dieses Jahres auch, macOS zu patchen, nachdem Forscher einen Weg gefunden hatten, seine GateKeeper-, Dateiquarantäne- und Beglaubigungssicherheitsmechanismen mit Malware zu umgehen, die als normale Dokumentdatei getarnt war.

Apple veröffentlichte außerdem einen Tag vor seiner großen Produkteinführung im September neue Versionen aller vier Betriebssysteme, um Sicherheitsprobleme wie eine durch die Pegasus-Spyware der NSO Group verursachte Schwachstelle zu beheben, die ohne deren Wissen Malware auf den iPhones der Zielpersonen installieren könnte.

Die Entdeckung von FiveSys hat die Aufmerksamkeit darauf gelenkt, wie verletzlich wir sind, wenn bösartige Software unsere Sicherheitsprotokolle unentdeckt durchdringt, indem sie digitale Zertifikate verwendet, die legitim erscheinen, aber gefälscht sind. Das Ergreifen proaktiver Maßnahmen hilft uns, uns vor solchen Angriffen zu schützen; Unsere Systeme mit den neuesten Patches auf dem neuesten Stand zu halten, zuverlässige Antivirensoftware zu verwenden und auf Phishing-Versuche aufmerksam zu sein, kann einen großen Beitrag zum Schutz vor bösartigen Programmen wie Rootkits wie FiveSys leisten.