Enquête sur Fivesys – la signature numérique non autorisée émise par Microsoft

Contenu

• Qu'est-ce qu'un rootkit ?
• Qu'est-ce que le rootkit Fivesys ?
• Comment a-t-il obtenu la signature numérique de Microsoft ?
• Comment se débarrasser des rootkits comme Fivesys ?
  • 1. Utilisez un logiciel de suppression de rootkit.
  • 2. Exécutez une analyse au démarrage.
  • 3. Essuyez l'appareil et réinstallez le système d'exploitation.
• Que pouvons-nous faire pour nous protéger contre les rootkits ?
• Emballer

Les pirates ont profité d'un rootkit, ou d'un logiciel malveillant qui accorde un accès non autorisé à un système informatique , qui a en quelque sorte obtenu le sceau d'approbation numérique de Microsoft. Cette découverte alarmante soulève des questions importantes sur notre vulnérabilité aux logiciels malveillants. Examinons de plus près ce rootkit et comment il a contourné les protocoles de sécurité de Microsoft.

Qu'est-ce qu'un rootkit ?

Les rootkits sont des outils logiciels malveillants que les cybercriminels peuvent utiliser pour prendre le contrôle des systèmes informatiques. Ces outils permettent aux attaquants de masquer les logiciels malveillants et les activités malveillantes ou même d'accéder à un système sans être détectés.

Les rootkits étaient les principaux prédateurs de la cybercriminalité il y a plus de dix ans. Ces programmes informatiques secrets ont été conçus pour fournir aux attaquants une emprise ininterrompue sur les ordinateurs des victimes tout en masquant les activités malveillantes du système d'exploitation et des solutions antimalware.

Les atténuations de sécurité introduites avec Windows Vista ont expulsé ces intrus vivant à l'intérieur du noyau du système d'exploitation, mais ils réapparaissent parfois.

Les rootkits peuvent contenir des portes dérobées, des enregistreurs de frappe, des logiciels malveillants voleurs de données, des scripts malveillants et d'autres méthodes sophistiquées qui rendent la détection difficile pour le propriétaire ou l'administrateur du système. En exploitant les vulnérabilités, ils peuvent prendre le contrôle d'un système sans exiger d'informations d'identification de l'utilisateur et accéder aux informations confidentielles qui y sont stockées.

En tant que tels, ils constituent une menace dangereuse pour la cybersécurité qui ne doit pas être prise à la légère . En fait, à mesure que les menaces de rootkit deviennent plus avancées et sophistiquées, il est de plus en plus essentiel pour les organisations et les individus de se tenir informés des derniers mécanismes de défense disponibles et de mettre à jour régulièrement leurs systèmes pour se protéger contre de telles attaques.

Qu'est-ce que le rootkit Fivesys ?

Selon un récent rapport de la société de cybersécurité Bitdefender, les e-criminels ont utilisé un rootkit surnommé "FiveSys" qui a étrangement reçu une signature électronique de Microsoft.

Le programme malveillant aurait accordé aux attaquants des "privilèges pratiquement illimités" sur les systèmes infectés, et les pirates l'ont utilisé pour cibler les joueurs en ligne pour le vol d'informations d'identification et le détournement d'achats dans le jeu. Selon les chercheurs, "FiveSys" pourrait également être redirigé vers d'autres types de vols de données.

En raison de l'inclusion d'un certificat de pilote Microsoft Windows Hardware Quality Labs Testing (WHQL) d'apparence légitime, le rootkit FiveSys a pu accéder aux systèmes ciblés.

WQOS génère une signature numérique unique en son genre qui permet d'installer des pilotes certifiés sur un ordinateur Windows via le programme officiel Windows Update, donnant ainsi confiance aux utilisateurs finaux. Une fois chargé, le rootkit accorde à ses créateurs des privilèges presque illimités.

Bitdefender, une société de sécurité, a découvert l'augmentation des pilotes malveillants avec des signatures électroniques valides. Selon la société, le rootkit en question permet aux attaquants de contourner la sécurité et d'accéder à un système ciblé et de le contrôler en redirigeant le trafic HTTP et HTTPS vers des domaines sur des serveurs proxy contrôlés par l'attaquant.

Le certificat WHQL compromis est similaire à celui utilisé dans le rootkit Netfilter, qui a été découvert plus tôt cette année. Fivesys est le deuxième rootkit à utiliser un certificat Microsoft, et Bitdefender prédit que davantage d'attaques utiliseront des certificats de pilote légitimes.

Selon Bitdefender, FiveSys est originaire de Chine et cible principalement les joueurs de jeux en ligne chinois. Selon la société de sécurité, le but ultime est de prendre le contrôle des informations d'identification dans les jeux pour effectuer des achats dans le jeu. Fivesys n'a pas encore été repéré dans la nature en dehors de la Chine.

Le caractère aléatoire avec lequel ce rootkit redirige le trafic compromis rend sa suppression difficile. Pour compliquer les tentatives de retrait potentielles, le rootkit inclut une liste de 300 domaines sur le TLD '.xyz' qui semblent être générés de manière aléatoire et stockés sous une forme cryptée à l'intérieur du binaire.

Pour se protéger, le rootkit utilise diverses stratégies, notamment empêcher la possibilité de modifier le registre et empêcher l'installation d'autres rootkits et logiciels malveillants de divers groupes.

En raison du modèle aléatoire, il est difficile d'identifier et de fermer les domaines. Bitdefender, pour sa part, a immédiatement contacté Microsoft concernant l'utilisation du certificat de pilote WHQL. Microsoft a rapidement révoqué la signature électronique.

Comment a-t-il obtenu la signature numérique de Microsoft ?

Les cybercriminels sont connus pour utiliser des certificats numériques volés, mais dans ce cas, ils ont pu en obtenir un valide. On ne sait toujours pas comment les cybercriminels ont pu obtenir un certificat valide.

Les signatures numériques sont des algorithmes que les entreprises et autres grandes organisations utilisent pour la sécurité. Les signatures électroniques génèrent une « empreinte digitale virtuelle » liée à des entités spécifiques et sont utilisées pour vérifier leur fiabilité. Par mesure de sécurité, Microsoft utilise un processus de signature numérique pour rejeter les programmes qui ne semblent pas provenir de sources fiables.

Cependant, les protocoles de sécurité de l'entreprise ne semblent pas avoir été à la hauteur du rootkit "FiveSys" et de ses gestionnaires de cybercriminels , qui ont pu faire signer leur programme malveillant avec le tampon d'approbation numérique de Microsoft. On ne sait pas comment ils ont accompli cela.

Il aurait pu être soumis à validation et passer les contrôles d'une manière ou d'une autre. Bien que les exigences de signature numérique détectent et arrêtent la majorité des rootkits, elles ne sont pas infaillibles. On ne sait pas comment FiveSys se propage, mais les chercheurs pensent qu'il est associé à des téléchargements de logiciels piratés.

Une fois installé, le rootkit FiveSys redirige le trafic Internet vers un serveur proxy, ce qu'il fait en installant un certificat racine personnalisé afin que le navigateur n'avertit pas de l'identité inconnue du proxy ; il empêche également d'autres logiciels malveillants d'écrire sur les pilotes, probablement dans le but d'empêcher d'autres cybercriminels d'exploiter le système compromis.

Selon l'analyse des attaques, le rootkit FiveSys est utilisé dans les cyberattaques contre les joueurs en ligne pour voler les identifiants de connexion et détourner les achats dans le jeu.

En raison de la popularité des jeux en ligne, beaucoup d'argent peut être impliqué - non seulement parce que les informations bancaires sont liées aux comptes, mais aussi parce que des objets virtuels prestigieux peuvent rapporter de grosses sommes d'argent lorsqu'ils sont vendus, ce qui implique que les attaquants pourraient exploiter l'accès pour voler et vendre. ces éléments.

Actuellement, les attaques visent les joueurs en Chine, où les chercheurs pensent que les attaquants sont également basés.

Comment se débarrasser des rootkits comme Fivesys ?

La suppression des rootkits comme Fivesys peut être une tâche ardue et complexe. La plupart des solutions antivirus ne détectent pas ces programmes malveillants, il est donc essentiel de prendre des mesures proactives contre eux. La première étape consiste à effectuer une analyse approfondie de votre ordinateur qui détecte et élimine les rootkits. Ensuite, suivez ces étapes :

1. Utilisez un logiciel de suppression de rootkit.

Ne vous fiez pas à Windows Defender ou à d'autres logiciels de sécurité intégrés, car la plupart des rootkits peuvent contourner les protections essentielles. Utilisez un logiciel spécialisé tel qu'Avast One pour une protection complète. Avast combine le plus grand réseau de détection des menaces au monde avec une protection contre les logiciels malveillants basée sur l'apprentissage automatique dans un seul outil léger capable de détecter et de supprimer les rootkits et de se défendre contre tous les types de futures menaces en ligne.

2. Exécutez une analyse au démarrage.

Les logiciels malveillants modernes utilisent des techniques sophistiquées pour éviter d'être détectés par un logiciel antivirus. Les rootkits sur un appareil qui exécute un système d'exploitation peuvent déjouer les analyses antivirus automatisées.

Si un programme antivirus demande au système d'exploitation d'ouvrir un fichier malveillant spécifique, le rootkit peut modifier le flux de données et ouvrir un fichier inoffensif à la place. Ils peuvent également modifier le code d'énumération d'un fichier malveillant, qui stocke et partage des informations sur les logiciels malveillants et les empêche d'être inclus dans une analyse.

Les rootkits sont détectés lors du processus de démarrage de votre ordinateur par des analyses au démarrage. L'avantage d'une analyse au démarrage est que le rootkit est généralement encore inactif et incapable de se cacher dans votre système.3.

3. Essuyez l'appareil et réinstallez le système d'exploitation.

Si un logiciel antivirus et une analyse au démarrage ne parviennent pas à supprimer le rootkit, essayez de sauvegarder vos données, d'effacer votre appareil et d'installer à partir de zéro. C'est parfois la seule option lorsqu'un rootkit fonctionne au niveau du démarrage, du micrologiciel ou de l'hyperviseur.

Tout d'abord, vous devez comprendre comment formater un disque dur et cloner un disque dur pour sauvegarder vos fichiers essentiels. Bien que vous deviez peut-être effacer le lecteur principal C:, vous pouvez toujours conserver la plupart de vos données. C'est la dernière option pour supprimer un rootkit.

La mise à jour fréquente du logiciel anti-malware aidera également à protéger votre système contre de nouvelles tentatives d'intrusion. Avec ces techniques en place, la gestion des rootkits existants et émergents comme Fivesys devrait devenir beaucoup plus simple.

Que pouvons-nous faire pour nous protéger contre les rootkits ?

Les rootkits sont une menace sérieuse pour la sécurité qui peut être difficile à détecter et à supprimer, mais il existe des mesures préventives qui peuvent être prises pour réduire les risques. Par exemple, la mise à jour de votre système d'exploitation et de vos logiciels garantit que vous ne devenez pas vulnérable aux vecteurs d'attaque connus pour l'installation de rootkits. Une bonne gestion des correctifs est essentielle ici, et un logiciel antivirus est également indispensable - restez à jour avec les définitions de virus afin que les attaquants aient moins d'options.

Soyez également prudent lorsque vous téléchargez quoi que ce soit - assurez-vous toujours qu'il provient de sources fiables et qu'il a de bonnes critiques. Désactivez les pilotes ou les exécutables non signés, car ils peuvent être des points d'entrée vulnérables pour les rootkits. Enfin, un pare-feu ou un proxy de filtrage Web robuste aidera à bloquer les attaquants qui tentent d'exploiter les vulnérabilités des systèmes non corrigés. Toutes ces mesures préventives vous donnent les meilleures chances d'atténuer les infections par les rootkits.

Bien que le rootkit soit actuellement utilisé pour voler les identifiants de connexion des comptes de jeu, il pourrait être utilisé contre d'autres cibles à l'avenir. Cependant, en prenant quelques précautions simples en matière de cybersécurité, vous pouvez éviter d'être victime de cette attaque ou d'attaques similaires.

Pour plus de sécurité, téléchargez le logiciel uniquement à partir du site Web du fournisseur ou de sources fiables. De plus, les solutions de sécurité modernes peuvent détecter les logiciels malveillants, y compris les rootkits, et empêcher leur exécution.

Il est essentiel de prendre des mesures pour se protéger contre les logiciels malveillants comme FiveSys. Assurez-vous de maintenir vos systèmes à jour avec les derniers correctifs, cela vous aidera à vous protéger contre les menaces connues comme celle-ci.

De plus, utilisez un logiciel antivirus fiable pour rechercher des activités suspectes ou des logiciels malveillants sur vos systèmes informatiques. Enfin, soyez conscient des tentatives de phishing ; ne cliquez pas sur des liens ou n'ouvrez pas de pièces jointes provenant de sources inconnues car elles pourraient contenir des logiciels malveillants tels que Kovter.

CONSEILLÉ

Résoudre les problèmes de PC avec Auslogics BoostSpeed

Outre le nettoyage et l'optimisation de votre PC, BoostSpeed ​​protège la confidentialité, diagnostique les problèmes matériels, propose des conseils pour augmenter la vitesse et fournit plus de 20 outils pour couvrir la plupart des besoins de maintenance et de service du PC.

Auslogics BoostSpeed ​​est un produit d'Auslogics, certifié Microsoft Silver Application Developer

TÉLÉCHARGEMENT GRATUIT

Emballer

Les mises à jour "Patch Tuesday" de Microsoft découvrent et corrigent constamment de nouvelles vulnérabilités zero-day. Apple s'est également empressé de corriger macOS plus tôt cette année après que des chercheurs aient trouvé un moyen de contourner ses mécanismes de sécurité GateKeeper, de mise en quarantaine des fichiers et de notarisation à l'aide d'un logiciel malveillant déguisé en fichier de document ordinaire.

Apple a également publié de nouvelles versions des quatre systèmes d'exploitation un jour avant le lancement majeur de son produit en septembre pour résoudre des problèmes de sécurité tels qu'une vulnérabilité causée par le logiciel espion Pegasus du groupe NSO, qui pourrait installer des logiciels malveillants sur les iPhones des cibles à leur insu.

La découverte de FiveSys a attiré l'attention sur notre vulnérabilité face aux logiciels malveillants qui contournent nos protocoles de sécurité sans être détectés en utilisant des certificats numériques qui semblent légitimes mais contrefaits. Prendre des mesures proactives nous aidera à nous protéger contre de telles attaques ; maintenir nos systèmes à jour avec les derniers correctifs, utiliser un logiciel antivirus fiable et être conscient des tentatives de phishing peut contribuer grandement à nous protéger contre les programmes malveillants tels que les rootkits comme FiveSys.