Fivesys の調査 – Microsoft が発行した無許可のデジタル署名
公開: 2022-12-23- ルートキットとは?
- Fivesys ルートキットとは何ですか?
- Microsoft のデジタル署名はどのように取得したのですか?
- Fivesys のようなルートキットを駆除するには?
- 1. ルートキット除去ソフトウェアを使用します。
- 2. 起動時スキャンを実行します。
- 3. デバイスをワイプし、オペレーティング システムを再インストールします。
- ルートキットから保護するために何ができますか?
- まとめ
ハッカーは、ルートキット、またはコンピューター システムへの不正アクセスを許可する悪意のあるソフトウェアを悪用してきました。この悪意のあるソフトウェアは、どういうわけか Microsoft の承認のデジタル シールを取得しています。 この驚くべき発見は、悪意のあるソフトウェアに対して私たちがどれほど脆弱であるかについて重要な疑問を投げかけています。 このルートキットと、それが Microsoft のセキュリティ プロトコルをどのようにバイパスしたかを詳しく見てみましょう。
ルートキットとは?
ルートキットは、サイバー犯罪者がコンピューター システムを制御するために使用できる悪意のあるソフトウェア ツールです。 これらのツールを使用すると、攻撃者はマルウェアや悪意のあるアクティビティを隠したり、検出されずにシステムにアクセスしたりすることができます.
ルートキットは、10 年以上前のサイバー犯罪の頂点捕食者でした。 これらの秘密のコンピューター プログラムは、オペレーティング システムやマルウェア対策ソリューションから悪意のあるアクティビティを隠しながら、攻撃者が被害者のコンピューターに確実に侵入できるように設計されています。
Windows Vista で導入されたセキュリティ緩和策により、オペレーティング システムのカーネル内に住むこれらの侵入者は追い出されましたが、再発することもあります。
ルートキットには、バックドア、キーロガー、データを盗むマルウェア、悪意のあるスクリプト、およびシステムの所有者または管理者が検出するのを困難にするその他の高度な方法が含まれている場合があります。 脆弱性を悪用することで、ユーザー資格情報を必要とせずにシステムを制御し、そこに保存されている機密情報にアクセスできます。
そのため、サイバーセキュリティに対する危険な脅威であり、軽視してはなりません。 実際、ルートキットの脅威が高度化・巧妙化するにつれて、組織や個人が利用可能な最新の防御メカニズムについて常に情報を入手し、システムを定期的に更新してそのような攻撃から保護することがますます重要になっています。
Fivesys ルートキットとは何ですか?
サイバーセキュリティ会社 Bitdefender の最近のレポートによると、電子犯罪者は、Microsoft から不気味な電子署名を受け取った「FiveSys」と呼ばれるルートキットを使用しています。
悪意のあるプログラムは、攻撃者に感染したシステムで「事実上無制限の権限」を付与したとされており、ハッカーはそれを使用して、資格情報の盗難やゲーム内購入の乗っ取りのためにオンライン ゲーマーを標的にしていました。 研究者によると、「FiveSys」は他のタイプのデータ盗難にリダイレクトされる可能性もあります。
正当に見える Microsoft Windows Hardware Quality Labs Testing (WHQL) ドライバー証明書が含まれているため、ルートキット FiveSys は標的のシステムにアクセスできました。
WQOS は独自のデジタル署名を生成します。これにより、認定されたドライバーを公式の Windows Update プログラムを介して Windows コンピューターにインストールできるようになり、エンド ユーザーに信頼を与えることができます。 ロードされると、ルートキットは作成者にほぼ無制限の権限を付与します。
セキュリティ会社の Bitdefender は、有効な電子署名を持つ悪意のあるドライバーの増加を発見しました。 同社によると、問題のルートキットにより、攻撃者は、攻撃者が制御するプロキシ サーバー上のドメインに HTTP および HTTPS トラフィックを再ルーティングすることで、セキュリティを回避し、標的のシステムにアクセスして制御することができます。
侵害された WHQL 証明書は、今年初めに発見された Netfilter ルートキットで使用されているものと似ています。 Fivesys は、Microsoft 証明書を使用する 2 番目のルートキットであり、Bitdefender は、正当なドライバー証明書を使用する攻撃が増えると予測しています。
Bitdefender によると、FiveSys は中国で発生し、主に中国のオンライン ゲーム プレーヤーをターゲットにしていることが確認されています。 セキュリティ会社によると、最終的な目標は、ゲーム内の資格情報を制御してゲーム内購入を行うことです。 Fivesys は、中国以外ではまだ発見されていません。
このルートキットは侵害されたトラフィックをランダムに再ルーティングするため、削除が困難です。 潜在的な削除の試みを複雑にするために、ルートキットには「.xyz」TLD に 300 個のドメインのリストが含まれており、これらはランダムに生成され、バイナリ内に暗号化された形式で保存されているように見えます。
自身を保護するために、ルートキットはさまざまな戦略を採用しています。たとえば、レジストリを編集できないようにしたり、さまざまなグループからの他のルートキットやマルウェアのインストールを阻止したりします。
パターンがランダムであるため、ドメインの識別とシャットダウンは困難です。 Bitdefender は、WHQL ドライバー証明書の使用に関して、すぐに Microsoft に連絡しました。 マイクロソフトはすぐに電子署名を取り消しました。
Microsoft のデジタル署名はどのように取得したのですか?
サイバー犯罪者は、盗んだデジタル証明書を使用することが知られていますが、この場合、有効な証明書を取得することができました。 サイバー犯罪者がどのようにして有効な証明書を取得できたのかはまだ不明です。
デジタル署名は、企業やその他の大規模な組織がセキュリティのために使用するアルゴリズムです。 電子署名は、特定のエンティティにリンクされた「仮想指紋」を生成し、その信頼性を検証するために使用されます。 セキュリティ対策として、Microsoft はデジタル署名プロセスを採用して、信頼できるソースからのものではないプログラムを拒否します。
しかし、同社のセキュリティ プロトコルは、Microsoft のデジタル承認スタンプで署名された悪意のあるプログラムを取得できた「FiveSys」ルートキットとそのサイバー犯罪者ハンドラーに匹敵するものではなかったようです。 彼らがどのようにこれを達成したかは不明です。
検証のために送信され、何らかの形でチェックに合格した可能性があります。 デジタル署名の要件は、大部分のルートキットを検出して阻止しますが、絶対確実というわけではありません。 FiveSys がどのように拡散されているかは不明ですが、研究者はクラックされたソフトウェアのダウンロードにバンドルされていると考えています。
インストールされると、FiveSys ルートキットはインターネット トラフィックをプロキシ サーバーにリダイレクトします。これは、ブラウザーがプロキシの不明な ID について警告しないように、カスタム ルート証明書をインストールすることによって行われます。 また、他のマルウェアがドライバに書き込むのを防ぎます。これは、他のサイバー犯罪者が侵害されたシステムを悪用するのを防ぐためである可能性が最も高いです。
攻撃分析によると、FiveSys ルートキットはオンライン ゲーマーに対するサイバー攻撃で使用され、ログイン資格情報を盗み、ゲーム内購入を乗っ取っています。
オンライン ゲームの人気により、多額の金銭が関与する可能性があります。これは、銀行情報がアカウントに関連付けられているだけでなく、有名な仮想アイテムが販売されると多額の金額を獲得できるためです。これらの器具。
現在、攻撃は中国のゲーマーを狙っており、研究者は攻撃者もそこに拠点を置いていると考えています。
Fivesys のようなルートキットを駆除するには?
Fivesys のようなルートキットを削除することは、困難で複雑な作業になる可能性があります。 ほとんどのウイルス対策ソリューションは、これらの悪意のあるプログラムを検出しないため、これらに対して事前対策を講じることが不可欠です。 最初のステップは、ルートキットを検出して排除するコンピューターのディープ スキャンを完了することです。 次に、次の手順に従います。
1. ルートキット除去ソフトウェアを使用します。
ほとんどのルートキットは重要な保護手段を回避できるため、Windows Defender やその他の組み込みのセキュリティ ソフトウェアに依存しないでください。 完全な保護のために、Avast One などの専用ソフトウェアを使用してください。 アバストは、世界最大の脅威検出ネットワークと機械学習マルウェア保護を組み合わせて、ルートキットを検出して削除し、将来のあらゆる種類のオンライン脅威から防御できる単一の軽量ツールにまとめました。
2. 起動時スキャンを実行します。
最新のマルウェアは、ウイルス対策ソフトウェアによる検出を回避するために高度な技術を採用しています。 オペレーティング システムを実行しているデバイス上のルートキットは、自動化されたウイルス対策スキャンの裏をかくことができます。
ウイルス対策プログラムがオペレーティング システムに特定のマルウェア ファイルを開くように要求した場合、ルートキットはデータ フローを変更し、代わりに無害なファイルを開くことができます。 また、マルウェア ファイルの列挙コードを変更して、マルウェアに関する情報を保存および共有し、マルウェアがスキャンに含まれないようにすることもできます。
ルートキットは、ブートタイム スキャンによってコンピュータの起動プロセス中に検出されます。 ブートタイム スキャンの利点は、通常、ルートキットがまだ休止状態にあり、システムに隠れることができないことです。3.
3. デバイスをワイプし、オペレーティング システムを再インストールします。
ウイルス対策ソフトウェアと起動時スキャンでルートキットを削除できない場合は、データのバックアップ、デバイスのワイプ、最初からのインストールを試してください。 ルートキットがブート、ファームウェア、またはハイパーバイザー レベルで動作している場合、これが唯一のオプションになることがあります。
まず、ハード ドライブをフォーマットし、ハード ドライブのクローンを作成して重要なファイルをバックアップする方法を理解する必要があります。 メインの C: ドライブを消去する必要があるかもしれませんが、それでもほとんどのデータを保持できます。 これは、ルートキットを削除するための最後のオプションです。
マルウェア対策ソフトウェアを頻繁に更新することで、新たな侵入の試みからシステムを保護することもできます。 これらの手法を導入することで、Fivesys のような既存および新たなルートキットへの対処がより簡単になります。
ルートキットから保護するために何ができますか?
ルートキットは、検出と削除が困難な深刻なセキュリティ上の脅威ですが、その可能性を減らすために実行できる予防措置があります。 たとえば、オペレーティング システムとソフトウェアを最新の状態に保つことで、ルートキットをインストールするための既知の攻撃ベクトルに対して脆弱になることを防ぐことができます。 ここでは適切なパッチ管理が重要であり、ウイルス対策ソフトウェアも必須です。ウイルス定義を最新の状態に保つことで、攻撃者の選択肢が少なくなります。
何かをダウンロードするときも注意してください。信頼できるソースからのものであり、良いレビューがあることを常に確認してください. ルートキットの脆弱なエントリ ポイントになる可能性があるため、署名されていないドライバーまたは実行可能ファイルを無効にします。 最後に、堅牢なファイアウォールまたは Web フィルタリング プロキシは、パッチが適用されていないシステムの脆弱性を悪用しようとする攻撃者をブロックするのに役立ちます。 これらすべての予防措置により、ルートキット感染を軽減する可能性が最も高くなります。
ルートキットは現在、ゲーム アカウントからログイン資格情報を盗むために使用されていますが、将来的には他の標的に対しても使用される可能性があります。 ただし、いくつかの簡単なサイバーセキュリティ予防策を講じることで、この攻撃または類似の攻撃の犠牲になることを回避できます.
安全のために、ベンダーの Web サイトまたは信頼できるソースからのみソフトウェアをダウンロードしてください。 さらに、最新のセキュリティ ソリューションは、ルートキットを含むマルウェアを検出し、その実行を防ぐことができます。
FiveSys のような悪意のあるソフトウェアから身を守るための対策を講じることが不可欠です。 最新のパッチを適用してシステムを最新の状態に保つようにしてください。これにより、このような既知の脅威から保護することができます。
さらに、信頼できるウイルス対策ソフトウェアを使用して、コンピューター システム上の疑わしいアクティビティや悪意のあるソフトウェアをスキャンします。 最後に、フィッシングの試みに注意してください。 Kovter などのマルウェアが含まれている可能性があるため、未知のソースからのリンクをクリックしたり、添付ファイルを開いたりしないでください。
PC のクリーニングと最適化に加えて、BoostSpeed はプライバシーを保護し、ハードウェアの問題を診断し、速度を上げるためのヒントを提供し、ほとんどの PC のメンテナンスとサービスのニーズに対応する 20 以上のツールを提供します。
まとめ
Microsoft の「Patch Tuesday」アップデートは、新しいゼロデイ脆弱性を常に発見し、パッチを当てています。 また、研究者が通常のドキュメント ファイルを装ったマルウェアを使用して、GateKeeper、ファイル検疫、および公証セキュリティ メカニズムを回避する方法を発見したことを受けて、Apple は今年初めに macOS へのパッチの適用を急ぎました。
Apple はまた、4 つのオペレーティング システムすべての新しいバージョンを 9 月の主要な製品発売の前日にリリースし、NSO Group の Pegasus スパイウェアによって引き起こされた脆弱性などのセキュリティ問題に対処しました。この脆弱性は、ターゲットの iPhone に知らないうちにマルウェアをインストールする可能性があります。
FiveSys の発見により、正当に見えるが偽造されたデジタル証明書を使用することで、悪意のあるソフトウェアが検出されずにセキュリティ プロトコルをすり抜けることに関して、私たちがどれほど脆弱であるかが注目されるようになりました。 積極的な対策を講じることで、このような攻撃から私たちを守ることができます。 システムを最新のパッチで最新の状態に保ち、信頼できるウイルス対策ソフトウェアを使用し、フィッシングの試みを認識することは、FiveSys のようなルートキットなどの悪意のあるプログラムから身を守るのに大いに役立ちます.