Investigación de Fivesys: la firma digital no autorizada emitida por Microsoft
Publicado: 2022-12-23- ¿Qué es un rootkit?
- ¿Qué es el rootkit de Fivesys?
- ¿Cómo obtuvo la firma digital de Microsoft?
- ¿Cómo deshacerse de rootkits como Fivesys?
- 1. Utilice un software de eliminación de rootkits.
- 2. Ejecute un análisis de tiempo de arranque.
- 3. Limpie el dispositivo y vuelva a instalar el sistema operativo.
- ¿Qué podemos hacer para protegernos contra los rootkits?
- Terminando
Los piratas informáticos se han estado aprovechando de un rootkit, o software malicioso que otorga acceso no autorizado a un sistema informático , que de alguna manera obtuvo el sello de aprobación digital de Microsoft. Este descubrimiento alarmante plantea preguntas importantes sobre cuán vulnerables somos al software malicioso. Echemos un vistazo más de cerca a este rootkit y cómo eludió los protocolos de seguridad de Microsoft.
¿Qué es un rootkit?
Los rootkits son herramientas de software malicioso que los ciberdelincuentes pueden utilizar para hacerse con el control de los sistemas informáticos. Estas herramientas permiten a los atacantes ocultar malware y actividades maliciosas o incluso acceder a un sistema sin ser detectados.
Los rootkits eran los principales depredadores del ciberdelito hace más de una década. Estos programas informáticos encubiertos fueron diseñados para proporcionar a los atacantes un punto de apoyo ininterrumpido en las computadoras de las víctimas mientras ocultan la actividad maliciosa del sistema operativo y las soluciones antimalware.
Las mitigaciones de seguridad introducidas con Windows Vista han expulsado a estos intrusos que viven dentro del kernel del sistema operativo, pero reaparecen ocasionalmente.
Los rootkits pueden contener puertas traseras, registradores de teclas, malware para robar datos, scripts maliciosos y otros métodos sofisticados que dificultan la detección por parte del propietario o administrador del sistema. Al explotar vulnerabilidades, pueden tomar el control de un sistema sin requerir credenciales de usuario y acceder a información confidencial almacenada en ellos.
Como tales, son una peligrosa amenaza para la ciberseguridad que no debe tomarse a la ligera . De hecho, a medida que las amenazas de rootkit se vuelven más avanzadas y sofisticadas, es cada vez más esencial para las organizaciones y las personas mantenerse informados sobre los últimos mecanismos de defensa disponibles y actualizar sus sistemas periódicamente para protegerse contra tales ataques.
¿Qué es el rootkit de Fivesys?
Según un informe reciente de la empresa de seguridad cibernética Bitdefender, los delincuentes electrónicos han estado utilizando un rootkit denominado "FiveSys" que misteriosamente recibió una firma electrónica de Microsoft.
El programa malicioso supuestamente otorgó a los atacantes "privilegios prácticamente ilimitados" en los sistemas infectados, y los piratas informáticos lo utilizaron para apuntar a los jugadores en línea para el robo de credenciales y el secuestro de compras en el juego. Según los investigadores, "FiveSys" también podría redirigirse a otros tipos de robo de datos.
Debido a la inclusión de un certificado de controlador de Microsoft Windows Hardware Quality Labs Testing (WHQL) de aspecto legítimo, el rootkit FiveSys pudo obtener acceso a los sistemas específicos.
WQOS genera una firma digital única que permite instalar controladores certificados en una computadora con Windows a través del programa oficial de actualización de Windows, brindando confianza a los usuarios finales. Una vez cargado, el rootkit otorga a sus creadores privilegios casi ilimitados.
Bitdefender, una empresa de seguridad, descubrió el aumento de controladores maliciosos con firmas electrónicas válidas. Según la compañía, el rootkit en cuestión permite a los atacantes eludir la seguridad y obtener acceso y control de un sistema objetivo al redirigir el tráfico HTTP y HTTPS a dominios en servidores proxy controlados por atacantes.
El certificado WHQL comprometido es similar al utilizado en el rootkit Netfilter, que se descubrió a principios de este año. Fivesys es el segundo rootkit que usa un certificado de Microsoft, y Bitdefender predice que más ataques usarán certificados de controlador legítimos.
Según Bitdefender, FiveSys se originó en China y se ha visto que se dirige principalmente a los jugadores chinos de juegos en línea. Según la firma de seguridad, el objetivo final es obtener el control de las credenciales en los juegos para realizar compras dentro del juego. Fivesys aún no se ha visto en la naturaleza fuera de China.
La aleatoriedad con la que este rootkit redirige el tráfico comprometido dificulta su eliminación. Para complicar los posibles intentos de eliminación, el rootkit incluye una lista de 300 dominios en el TLD '.xyz' que parecen generarse aleatoriamente y almacenarse en forma cifrada dentro del binario.
Para protegerse, el rootkit emplea una variedad de estrategias, incluida la prevención de la capacidad de editar el registro y la instalación de otros rootkits y malware de varios grupos.
Debido al patrón aleatorio, es difícil identificar y cerrar los dominios. Bitdefender, por su parte, contactó inmediatamente a Microsoft con respecto al uso del certificado de controlador WHQL. Microsoft revocó rápidamente la firma electrónica.
¿Cómo obtuvo la firma digital de Microsoft?
Se sabe que los ciberdelincuentes usan certificados digitales robados, pero en este caso pudieron obtener uno válido. Todavía no está claro cómo los ciberdelincuentes pudieron obtener un certificado válido.
Las firmas digitales son algoritmos que las empresas y otras grandes organizaciones utilizan para la seguridad. Las firmas electrónicas generan una "huella digital virtual" vinculada a entidades específicas y se utilizan para verificar su confiabilidad. Como medida de seguridad, Microsoft emplea un proceso de firma digital para rechazar programas que no parecen provenir de fuentes confiables.
Sin embargo, los protocolos de seguridad de la empresa parecen no haber sido rival para el rootkit “FiveSys” y sus controladores de ciberdelincuentes , que lograron que su programa malicioso fuera firmado con el sello de aprobación digital de Microsoft. No está claro cómo lograron esto.
Podría haber sido enviado para validación y de alguna manera pasó los controles. Si bien los requisitos de firma digital detectan y detienen la mayoría de los rootkits, no son infalibles. No está claro cómo se propaga FiveSys, pero los investigadores creen que se incluye con descargas de software descifrado.
Una vez instalado, el rootkit FiveSys redirige el tráfico de Internet a un servidor proxy, lo que hace mediante la instalación de un certificado raíz personalizado para que el navegador no advierta sobre la identidad desconocida del proxy; también evita que otro malware escriba en los controladores, muy probablemente en un intento de evitar que otros ciberdelincuentes exploten el sistema comprometido.
Según el análisis de ataques, el rootkit FiveSys se está utilizando en ataques cibernéticos contra jugadores en línea para robar credenciales de inicio de sesión y secuestrar compras en el juego.
Debido a la popularidad de los juegos en línea, puede haber mucho dinero involucrado, no solo porque la información bancaria está vinculada a las cuentas, sino también porque los artículos virtuales prestigiosos pueden obtener grandes sumas de dinero cuando se venden, lo que implica que los atacantes podrían aprovechar el acceso para robar y vender. estos artículos.
Actualmente, los ataques están dirigidos a jugadores en China, donde los investigadores creen que también tienen su base.
¿Cómo deshacerse de rootkits como Fivesys?
Eliminar rootkits como Fivesys puede ser una tarea compleja y desalentadora. La mayoría de las soluciones antivirus no detectan estos programas maliciosos, por lo que es fundamental tomar medidas proactivas contra ellos. El primer paso es realizar un análisis profundo de su equipo que detecte y elimine los rootkits. A continuación, siga estos pasos:
1. Utilice un software de eliminación de rootkits.
No confíe en Windows Defender u otro software de seguridad integrado porque la mayoría de los rootkits pueden eludir las medidas de seguridad esenciales. Utilice software especializado como Avast One para una protección completa. Avast combina la red de detección de amenazas más grande del mundo con la protección contra malware de aprendizaje automático en una herramienta única y liviana capaz de detectar y eliminar rootkits y defenderse contra todo tipo de futuras amenazas en línea.
2. Ejecute un análisis de tiempo de arranque.
El malware moderno emplea técnicas sofisticadas para evitar la detección por parte del software antivirus. Los rootkits en un dispositivo que ejecuta un sistema operativo pueden burlar los análisis antivirus automatizados.
Si un programa antivirus solicita que el sistema operativo abra un archivo de malware específico, el rootkit puede alterar el flujo de datos y abrir un archivo inofensivo en su lugar. También pueden alterar el código de enumeración de un archivo de malware, que almacena y comparte información sobre el malware y evita que se incluya en un análisis.
Los rootkits se detectan durante el proceso de inicio de su computadora mediante escaneos durante el arranque. La ventaja de un análisis durante el arranque es que, por lo general, el rootkit aún está inactivo y no puede ocultarse en su sistema.3.
3. Limpie el dispositivo y vuelva a instalar el sistema operativo.
Si el software antivirus y un análisis durante el arranque no logran eliminar el rootkit, intente hacer una copia de seguridad de sus datos, borrar su dispositivo e instalarlo desde cero. A veces, esta es la única opción cuando un rootkit está funcionando en los niveles de arranque, firmware o hipervisor.
Primero, debe comprender cómo formatear un disco duro y clonar un disco duro para hacer una copia de seguridad de sus archivos esenciales. Aunque es posible que deba borrar la unidad principal C:, aún puede conservar la mayoría de sus datos. Esta es la última opción para eliminar un rootkit.
La actualización frecuente del software antimalware también ayudará a mantener su sistema a salvo de nuevos intentos de intrusión. Con estas técnicas implementadas, tratar con rootkits existentes y emergentes como Fivesys debería ser mucho más sencillo.
¿Qué podemos hacer para protegernos contra los rootkits?
Los rootkits son una seria amenaza para la seguridad que puede ser difícil de detectar y eliminar, pero se pueden tomar medidas preventivas para reducir las posibilidades. Por ejemplo, mantener actualizado su sistema operativo y software garantiza que no se vuelva vulnerable a los vectores de ataque conocidos para la instalación de rootkits. Una buena administración de parches es clave aquí, y el software antivirus también es imprescindible: manténgase actualizado con las definiciones de virus para que los atacantes tengan menos opciones.
También tenga cuidado al descargar cualquier cosa: siempre asegúrese de que provenga de fuentes confiables y tenga buenas críticas. Deshabilite los controladores o ejecutables no firmados, ya que pueden ser puntos de entrada vulnerables para los rootkits. Por último, un firewall robusto o un proxy de filtrado web ayudará a bloquear a los atacantes que intentan explotar las vulnerabilidades en los sistemas sin parches. Todas estas medidas preventivas le brindan la mejor oportunidad de mitigar las infecciones de rootkit.
Si bien el rootkit se usa actualmente para robar credenciales de inicio de sesión de cuentas de juegos, puede usarse contra otros objetivos en el futuro. Sin embargo, si toma algunas precauciones simples de ciberseguridad, puede evitar ser víctima de este u otros ataques similares.
Para estar seguro, descargue el software solo del sitio web del proveedor o de fuentes confiables. Además, las soluciones de seguridad modernas pueden detectar malware, incluidos los rootkits, y evitar su ejecución.
Es esencial tomar medidas para protegerse contra software malicioso como FiveSys. Asegúrese de mantener sus sistemas actualizados con los parches más recientes; esto lo ayudará a protegerse contra amenazas conocidas como esta.
Además, use un software antivirus confiable para buscar actividades sospechosas o software malicioso en sus sistemas informáticos. Finalmente, tenga cuidado con los intentos de phishing; no haga clic en enlaces ni abra archivos adjuntos de fuentes desconocidas, ya que podrían contener malware como Kovter.
Además de limpiar y optimizar su PC, BoostSpeed protege la privacidad, diagnostica problemas de hardware, ofrece consejos para aumentar la velocidad y brinda más de 20 herramientas para cubrir la mayoría de las necesidades de servicio y mantenimiento de la PC.
Terminando
Las actualizaciones de 'Patch Tuesday' de Microsoft están constantemente descubriendo y parcheando nuevas vulnerabilidades de día cero. Apple también se apresuró a parchear macOS a principios de este año después de que los investigadores encontraran una manera de eludir sus mecanismos de seguridad GateKeeper, cuarentena de archivos y notarización utilizando malware disfrazado como un archivo de documento normal.
Apple también lanzó nuevas versiones de los cuatro sistemas operativos un día antes de su principal lanzamiento de productos en septiembre para abordar problemas de seguridad, como una vulnerabilidad causada por el software espía Pegasus de NSO Group, que podría instalar malware en los iPhone de los objetivos sin su conocimiento.
El descubrimiento de FiveSys ha llamado la atención sobre cuán vulnerables somos cuando se trata de software malicioso que supera nuestros protocolos de seguridad sin ser detectado mediante el uso de certificados digitales que parecen legítimos pero falsos. Tomar medidas proactivas nos ayudará a protegernos contra tales ataques; mantener nuestros sistemas actualizados con los últimos parches, usar un software antivirus confiable y estar al tanto de los intentos de phishing puede ser de gran ayuda para protegernos de programas maliciosos como rootkits como FiveSys.