Badanie Fivesys — nieautoryzowanego podpisu cyfrowego wystawionego przez firmę Microsoft
Opublikowany: 2022-12-23- Co to jest rootkit?
- Co to jest rootkit Fivesys?
- Jak zdobył podpis cyfrowy Microsoftu?
- Jak pozbyć się rootkitów takich jak Fivesys?
- 1. Użyj oprogramowania do usuwania rootkitów.
- 2. Uruchom skanowanie podczas rozruchu.
- 3. Wyczyść urządzenie i ponownie zainstaluj system operacyjny.
- Co możemy zrobić, aby chronić się przed rootkitami?
- Podsumowanie
Hakerzy wykorzystują rootkit lub złośliwe oprogramowanie, które zapewnia nieautoryzowany dostęp do systemu komputerowego , które w jakiś sposób uzyskało cyfrową pieczęć zatwierdzenia firmy Microsoft. To niepokojące odkrycie rodzi ważne pytania dotyczące tego, jak bardzo jesteśmy podatni na złośliwe oprogramowanie. Przyjrzyjmy się bliżej temu rootkitowi i temu, jak omijał protokoły bezpieczeństwa Microsoftu.
Co to jest rootkit?
Rootkity to złośliwe oprogramowanie, które cyberprzestępcy mogą wykorzystać do przejęcia kontroli nad systemami komputerowymi. Narzędzia te pozwalają atakującym ukryć złośliwe oprogramowanie i złośliwe działania, a nawet uzyskać dostęp do systemu bez wykrycia.
Ponad dziesięć lat temu rootkity były głównymi drapieżnikami cyberprzestępczości. Te ukryte programy komputerowe zostały zaprojektowane w celu zapewnienia atakującym nieprzerwanego oparcia na komputerach ofiar przy jednoczesnym ukryciu złośliwej aktywności przed systemem operacyjnym i rozwiązaniami chroniącymi przed złośliwym oprogramowaniem.
Ograniczenia bezpieczeństwa wprowadzone w systemie Windows Vista spowodowały eksmisję tych intruzów mieszkających w jądrze systemu operacyjnego, ale od czasu do czasu pojawiają się ponownie.
Rootkity mogą zawierać backdoory, keyloggery, złośliwe oprogramowanie kradnące dane, złośliwe skrypty i inne wyrafinowane metody, które utrudniają właścicielowi lub administratorowi systemu wykrycie. Wykorzystując luki w zabezpieczeniach, mogą przejąć kontrolę nad systemem bez wymagania poświadczeń użytkownika i uzyskać dostęp do przechowywanych w nich poufnych informacji.
Jako takie stanowią niebezpieczne zagrożenie dla cyberbezpieczeństwa, którego nie wolno lekceważyć . W rzeczywistości, w miarę jak zagrożenia typu rootkit stają się coraz bardziej zaawansowane i wyrafinowane, coraz bardziej istotne jest, aby organizacje i osoby prywatne były na bieżąco informowane o najnowszych dostępnych mechanizmach obronnych i regularnie aktualizowały swoje systemy w celu ochrony przed takimi atakami.
Co to jest rootkit Fivesys?
Według niedawnego raportu firmy Bitdefender zajmującej się cyberbezpieczeństwem, e-przestępcy używają rootkita o nazwie „FiveSys”, który w niesamowity sposób otrzymał e-podpis od firmy Microsoft.
Złośliwy program rzekomo dawał atakującym „praktycznie nieograniczone uprawnienia” w zainfekowanych systemach, a hakerzy używali go do atakowania graczy online w celu kradzieży danych uwierzytelniających i przejmowania zakupów w grach. Według badaczy, „FiveSys” może również zostać przekierowany do innych rodzajów kradzieży danych.
Dzięki dołączeniu wyglądającego na legalny certyfikatu sterownika Microsoft Windows Hardware Quality Labs Testing (WHQL) rootkit FiveSys był w stanie uzyskać dostęp do atakowanych systemów.
WQOS generuje jedyny w swoim rodzaju podpis cyfrowy, który umożliwia instalację certyfikowanych sterowników na komputerze z systemem Windows za pośrednictwem oficjalnego programu Windows Update, dając użytkownikom końcowym pewność. Po załadowaniu rootkit przyznaje swoim twórcom niemal nieograniczone uprawnienia.
Bitdefender, firma zajmująca się bezpieczeństwem, odkryła wzrost liczby złośliwych sterowników z ważnymi podpisami elektronicznymi. Według firmy rootkit, o którym mowa, umożliwia atakującym obejście zabezpieczeń oraz uzyskanie dostępu i kontroli nad docelowym systemem poprzez przekierowanie ruchu HTTP i HTTPS do domen na kontrolowanych przez atakujących serwerach proxy.
Zaatakowany certyfikat WHQL jest podobny do certyfikatu używanego w rootkicie Netfilter, który został wykryty na początku tego roku. Fivesys to drugi rootkit wykorzystujący certyfikat Microsoft, a Bitdefender przewiduje, że więcej ataków będzie wykorzystywać legalne certyfikaty sterowników.
Według Bitdefender, FiveSys pochodzi z Chin i był postrzegany głównie jako skierowany do chińskich graczy online. Według firmy zajmującej się bezpieczeństwem ostatecznym celem jest przejęcie kontroli nad danymi uwierzytelniającymi w grach w celu dokonywania zakupów w grze. Fivesys nie został jeszcze zauważony na wolności poza Chinami.
Losowość, z jaką ten rootkit przekierowuje zainfekowany ruch, utrudnia jego usunięcie. Aby skomplikować potencjalne próby usunięcia, rootkit zawiera listę 300 domen w domenie TLD „.xyz”, które wydają się być generowane losowo i przechowywane w postaci zaszyfrowanej w pliku binarnym.
Aby się chronić, rootkit stosuje różne strategie, w tym blokowanie możliwości edytowania rejestru oraz zapobieganie instalacji innych rootkitów i złośliwego oprogramowania z różnych grup.
Ze względu na losowy wzór identyfikacja i zamykanie domen jest trudne. Ze swojej strony Bitdefender natychmiast skontaktował się z firmą Microsoft w sprawie korzystania z certyfikatu sterownika WHQL. Microsoft szybko unieważnił e-podpis.
Jak zdobył podpis cyfrowy Microsoftu?
Wiadomo, że cyberprzestępcy używają skradzionych certyfikatów cyfrowych, ale w tym przypadku udało im się uzyskać ważny certyfikat. Nadal nie jest jasne, w jaki sposób cyberprzestępcy byli w stanie zdobyć ważny certyfikat.
Podpisy cyfrowe to algorytmy używane przez firmy i inne duże organizacje w celu zapewnienia bezpieczeństwa. Podpisy elektroniczne generują „wirtualny odcisk palca” powiązany z określonymi podmiotami i służą do weryfikacji ich wiarygodności. Jako środek bezpieczeństwa firma Microsoft stosuje proces podpisywania cyfrowego w celu odrzucenia programów, które nie wydają się pochodzić z zaufanych źródeł.
Jednak protokoły bezpieczeństwa firmy wydają się nie dorównywać rootkitowi „FiveSys” i jego cyberprzestępcom , którym udało się podpisać swój szkodliwy program cyfrową pieczęcią zatwierdzenia firmy Microsoft. Nie jest jasne, jak tego dokonali.
Mógł zostać przesłany do walidacji i jakoś przeszedł kontrole. Chociaż wymagania dotyczące podpisu cyfrowego wykrywają i powstrzymują większość programów typu rootkit, nie są one niezawodne. Nie jest jasne, w jaki sposób rozprzestrzenia się FiveSys, ale badacze uważają, że jest on dołączany do pobierania złamanego oprogramowania.
Po zainstalowaniu rootkit FiveSys przekierowuje ruch internetowy do serwera proxy, co robi, instalując niestandardowy certyfikat główny, dzięki czemu przeglądarka nie ostrzega o nieznanej tożsamości serwera proxy; zapobiega również zapisaniu sterowników przez inne złośliwe oprogramowanie, najprawdopodobniej w celu powstrzymania innych cyberprzestępców przed wykorzystaniem zainfekowanego systemu.
Według analizy ataków rootkit FiveSys jest wykorzystywany w cyberatakach przeciwko graczom online w celu kradzieży danych logowania i przejmowania zakupów w grach.
Ze względu na popularność gier online w grę mogą wchodzić duże pieniądze – nie tylko dlatego, że informacje bankowe są powiązane z kontami, ale także dlatego, że prestiżowe wirtualne przedmioty mogą przy sprzedaży przynieść duże sumy pieniędzy, co sugeruje, że osoby atakujące mogą wykorzystać dostęp do kradzieży i sprzedaży te przedmioty.
Obecnie ataki są wymierzone w graczy w Chinach, gdzie według badaczy mają swoją siedzibę również napastnicy.
Jak pozbyć się rootkitów takich jak Fivesys?
Usuwanie rootkitów, takich jak Fivesys, może być zniechęcającym i złożonym zadaniem. Większość rozwiązań antywirusowych nie wykrywa tych złośliwych programów, dlatego konieczne jest podjęcie proaktywnych działań przeciwko nim. Pierwszym krokiem jest ukończenie głębokiego skanowania komputera, które wykryje i wyeliminuje rootkity. Następnie wykonaj następujące kroki:
1. Użyj oprogramowania do usuwania rootkitów.
Nie polegaj na programie Windows Defender ani innym wbudowanym oprogramowaniu zabezpieczającym, ponieważ większość programów typu rootkit może obejść podstawowe zabezpieczenia. Korzystaj ze specjalistycznego oprogramowania, takiego jak Avast One, aby uzyskać pełną ochronę. Avast łączy największą na świecie sieć wykrywania zagrożeń z ochroną przed złośliwym oprogramowaniem wykorzystującą uczenie maszynowe w jednym, lekkim narzędziu zdolnym do wykrywania i usuwania rootkitów oraz obrony przed wszystkimi rodzajami przyszłych zagrożeń internetowych.
2. Uruchom skanowanie podczas rozruchu.
Nowoczesne złośliwe oprogramowanie wykorzystuje wyrafinowane techniki, aby uniknąć wykrycia przez oprogramowanie antywirusowe. Rootkity na urządzeniu z systemem operacyjnym mogą przechytrzyć automatyczne skanowanie antywirusowe.
Jeśli program antywirusowy zażąda od systemu operacyjnego otwarcia określonego pliku złośliwego oprogramowania, rootkit może zmienić przepływ danych i zamiast tego otworzyć nieszkodliwy plik. Mogą również zmienić kod wyliczeniowy pliku złośliwego oprogramowania, który przechowuje i udostępnia informacje o złośliwym oprogramowaniu oraz zapobiega uwzględnieniu go w skanowaniu.
Rootkity są wykrywane podczas procesu uruchamiania komputera przez skanowanie w czasie rozruchu. Zaletą skanowania w czasie rozruchu jest to, że rootkit jest zwykle nadal uśpiony i nie może się ukryć w systemie.3.
3. Wyczyść urządzenie i ponownie zainstaluj system operacyjny.
Jeśli oprogramowanie antywirusowe i skanowanie w czasie rozruchu nie usuną rootkita, spróbuj wykonać kopię zapasową danych, wyczyścić urządzenie i zainstalować od nowa. Czasami jest to jedyna opcja, gdy rootkit działa na poziomie rozruchu, oprogramowania układowego lub hiperwizora.
Najpierw musisz zrozumieć, jak sformatować dysk twardy i sklonować dysk twardy, aby utworzyć kopię zapasową niezbędnych plików. Chociaż może być konieczne wyczyszczenie głównego dysku C:, nadal możesz zachować większość swoich danych. Jest to ostateczna opcja usunięcia rootkita.
Częste aktualizowanie oprogramowania chroniącego przed złośliwym oprogramowaniem pomoże również zabezpieczyć system przed nowymi próbami włamań. Dzięki tym technikom radzenie sobie z istniejącymi i powstającymi rootkitami, takimi jak Fivesys, powinno stać się znacznie prostsze.
Co możemy zrobić, aby chronić się przed rootkitami?
Rootkity stanowią poważne zagrożenie bezpieczeństwa, które może być trudne do wykrycia i usunięcia, ale istnieją kroki zapobiegawcze, które można podjąć, aby zmniejszyć ryzyko. Na przykład dbanie o aktualność systemu operacyjnego i oprogramowania gwarantuje, że nie staniesz się narażony na znane wektory ataków w celu instalacji rootkitów. Dobre zarządzanie poprawkami ma tu kluczowe znaczenie, a oprogramowanie antywirusowe jest również koniecznością — bądź na bieżąco z definicjami wirusów, aby osoby atakujące miały mniej opcji.
Zachowaj ostrożność podczas pobierania czegokolwiek – zawsze upewnij się, że pochodzi to z wiarygodnych źródeł i ma dobre recenzje. Wyłącz niepodpisane sterowniki lub pliki wykonywalne, ponieważ mogą one stanowić punkty wejścia dla rootkitów. Wreszcie solidna zapora ogniowa lub serwer proxy do filtrowania stron internetowych pomogą zablokować atakującym próbującym wykorzystać luki w niezałatanych systemach. Wszystkie te środki zapobiegawcze dają największe szanse na złagodzenie infekcji rootkitami.
Chociaż rootkit jest obecnie używany do kradzieży danych logowania z kont gier, w przyszłości może zostać wykorzystany przeciwko innym celom. Jednak stosując kilka prostych środków bezpieczeństwa cybernetycznego, możesz uniknąć padnięcia ofiarą tego lub podobnych ataków.
Aby być bezpiecznym, pobieraj oprogramowanie wyłącznie ze strony dostawcy lub zaufanych źródeł. Ponadto nowoczesne rozwiązania bezpieczeństwa mogą wykrywać złośliwe oprogramowanie, w tym rootkity, i zapobiegać jego wykonaniu.
Konieczne jest podjęcie kroków w celu ochrony przed złośliwym oprogramowaniem, takim jak FiveSys. Upewnij się, że na bieżąco instalujesz w swoich systemach najnowsze poprawki — pomoże to chronić Cię przed znanymi zagrożeniami, takimi jak to.
Ponadto używaj niezawodnego oprogramowania antywirusowego do skanowania w poszukiwaniu podejrzanej aktywności lub złośliwego oprogramowania w systemach komputerowych. Wreszcie, bądź świadomy prób phishingu; nie klikaj linków ani nie otwieraj załączników z nieznanych źródeł, ponieważ mogą one zawierać złośliwe oprogramowanie, takie jak Kovter.
Poza czyszczeniem i optymalizacją komputera, BoostSpeed chroni prywatność, diagnozuje problemy ze sprzętem, oferuje wskazówki dotyczące zwiększania prędkości i zapewnia ponad 20 narzędzi, które zaspokoją większość potrzeb związanych z konserwacją i serwisowaniem komputera.
Podsumowanie
Aktualizacje „Patch Tuesday” firmy Microsoft nieustannie odkrywają i łatają nowe luki zero-day. Apple pospieszyło również z łataniem systemu macOS na początku tego roku po tym, jak badacze znaleźli sposób na obejście mechanizmów bezpieczeństwa GateKeeper, kwarantanny plików i notarialnego uwierzytelniania przy użyciu złośliwego oprogramowania udającego zwykły plik dokumentu.
Apple wypuściło również nowe wersje wszystkich czterech systemów operacyjnych na dzień przed główną premierą produktu we wrześniu, aby rozwiązać problemy bezpieczeństwa, takie jak luka w zabezpieczeniach spowodowana przez oprogramowanie szpiegowskie Pegasus firmy NSO Group, które może instalować złośliwe oprogramowanie na iPhone'ach celów bez ich wiedzy.
Odkrycie FiveSys zwróciło uwagę na to, jak bardzo jesteśmy podatni na złośliwe oprogramowanie, które może niepostrzeżenie przedostać się przez nasze protokoły bezpieczeństwa za pomocą cyfrowych certyfikatów, które wyglądają na legalne, ale są fałszywe. Podejmowanie proaktywnych kroków pomoże nam chronić się przed takimi atakami; Aktualizowanie naszych systemów za pomocą najnowszych poprawek, korzystanie z niezawodnego oprogramowania antywirusowego i świadomość prób wyłudzania informacji może znacznie przyczynić się do ochrony przed złośliwymi programami, takimi jak rootkity, takie jak FiveSys.