Investigando Fivesys – a assinatura digital não autorizada emitida pela Microsoft
Publicados: 2022-12-23- O que é um rootkit?
- O que é o Fivesys Rootkit?
- Como ele obteve a assinatura digital da Microsoft?
- Como se livrar de rootkits como o Fivesys?
- 1. Use um software de remoção de rootkit.
- 2. Execute uma verificação durante a inicialização.
- 3. Limpe o dispositivo e reinstale o sistema operacional.
- O que podemos fazer para proteger contra rootkits?
- Empacotando
Os hackers estão se aproveitando de um rootkit, ou software malicioso que concede acesso não autorizado a um sistema de computador , que de alguma forma obteve o selo digital de aprovação da Microsoft. Essa descoberta alarmante levanta questões importantes sobre o quão vulneráveis somos a softwares mal-intencionados. Vamos dar uma olhada neste rootkit e como ele contornou os protocolos de segurança da Microsoft.
O que é um rootkit?
Os rootkits são ferramentas de software maliciosas que os cibercriminosos podem usar para obter o controle dos sistemas de computador. Essas ferramentas permitem que os invasores ocultem malware e atividades maliciosas ou até mesmo acessem um sistema sem serem detectados.
Os rootkits eram os principais predadores do crime cibernético há mais de uma década. Esses programas de computador ocultos foram projetados para fornecer aos invasores uma base ininterrupta nos computadores das vítimas, ocultando atividades maliciosas do sistema operacional e das soluções antimalware.
As mitigações de segurança introduzidas com o Windows Vista expulsaram esses intrusos que vivem dentro do kernel do sistema operacional, mas eles ocasionalmente reaparecem.
Os rootkits podem conter backdoors, keyloggers, malware para roubo de dados, scripts maliciosos e outros métodos sofisticados que dificultam a detecção pelo proprietário ou administrador do sistema. Ao explorar vulnerabilidades, eles podem assumir o controle de um sistema sem exigir credenciais de usuário e acessar informações confidenciais armazenadas neles.
Como tal, eles são uma ameaça perigosa à segurança cibernética que não deve ser menosprezada . Na verdade, à medida que as ameaças de rootkit se tornam mais avançadas e sofisticadas, é cada vez mais essencial que organizações e indivíduos se mantenham informados sobre os mecanismos de defesa mais recentes disponíveis e atualizem seus sistemas regularmente para proteção contra esses ataques.
O que é o Fivesys Rootkit?
De acordo com um relatório recente da empresa de segurança cibernética Bitdefender, os criminosos eletrônicos têm usado um rootkit apelidado de “FiveSys” que estranhamente recebeu uma assinatura eletrônica da Microsoft.
O programa malicioso supostamente concedeu aos invasores “privilégios virtualmente ilimitados” em sistemas infectados, e os hackers o usaram para direcionar jogadores online para roubo de credenciais e seqüestro de compras no jogo. Segundo os pesquisadores, o “FiveSys” também pode ser redirecionado para outros tipos de roubo de dados.
Devido à inclusão de um certificado de driver WHQL (Hardware Quality Labs Testing) de aparência legítima do Microsoft Windows, o rootkit FiveSys conseguiu obter acesso aos sistemas visados.
O WQOS gera uma assinatura digital exclusiva que permite que drivers certificados sejam instalados em um computador Windows por meio do programa oficial Windows Update, dando confiança aos usuários finais. Uma vez carregado, o rootkit concede aos seus criadores privilégios quase ilimitados.
A Bitdefender, uma empresa de segurança, descobriu o aumento de drivers maliciosos com assinaturas eletrônicas válidas. De acordo com a empresa, o rootkit em questão permite que os invasores contornem a segurança e obtenham acesso e controle de um sistema de destino redirecionando o tráfego HTTP e HTTPS para domínios em servidores proxy controlados pelo invasor.
O certificado WHQL comprometido é semelhante ao usado no rootkit Netfilter, que foi descoberto no início deste ano. Fivesys é o segundo rootkit a usar um certificado da Microsoft, e a Bitdefender prevê que mais ataques usarão certificados de driver legítimos.
De acordo com a Bitdefender, o FiveSys se originou na China e foi visto principalmente como alvo de jogadores chineses de jogos online. De acordo com a empresa de segurança, o objetivo final é obter o controle das credenciais dos jogos para fazer compras dentro do jogo. Fivesys ainda não foi visto na natureza fora da China.
A aleatoriedade com que esse rootkit redireciona o tráfego comprometido dificulta sua remoção. Para complicar possíveis tentativas de remoção, o rootkit inclui uma lista de 300 domínios no TLD '.xyz' que parecem ser gerados aleatoriamente e armazenados de forma criptografada dentro do binário.
Para se proteger, o rootkit emprega uma variedade de estratégias, incluindo impedir a capacidade de editar o registro e impedir a instalação de outros rootkits e malware de vários grupos.
Devido ao padrão aleatório, é difícil identificar e desligar os domínios. A Bitdefender, por sua vez, imediatamente contatou a Microsoft a respeito do uso do certificado de driver WHQL. A Microsoft revogou rapidamente a assinatura eletrônica.
Como ele obteve a assinatura digital da Microsoft?
Os cibercriminosos são conhecidos por usar certificados digitais roubados, mas, neste caso, eles conseguiram obter um válido. Ainda não está claro como os cibercriminosos conseguiram obter um certificado válido.
As assinaturas digitais são algoritmos que as empresas e outras grandes organizações usam para segurança. As assinaturas eletrônicas geram uma “impressão digital virtual” vinculada a entidades específicas e são usadas para verificar sua confiabilidade. Como medida de segurança, a Microsoft emprega um processo de assinatura digital para rejeitar programas que não parecem ter vindo de fontes confiáveis.
No entanto, os protocolos de segurança da empresa parecem não ter sido páreo para o rootkit “FiveSys” e seus manipuladores cibercriminosos , que conseguiram que seu programa malicioso fosse assinado com o selo de aprovação digital da Microsoft. Não está claro como eles conseguiram isso.
Ele poderia ter sido enviado para validação e, de alguma forma, ter passado nas verificações. Embora os requisitos de assinatura digital detectem e interrompam a maioria dos rootkits, eles não são infalíveis. Não está claro como o FiveSys se espalha, mas os pesquisadores acreditam que ele vem junto com downloads de software crackeado.
Depois de instalado, o rootkit FiveSys redireciona o tráfego da Internet para um servidor proxy, o que ele faz instalando um certificado raiz personalizado para que o navegador não avise sobre a identidade desconhecida do proxy; também impede que outros malwares gravem nos drivers, provavelmente em uma tentativa de impedir que outros criminosos cibernéticos explorem o sistema comprometido.
De acordo com a análise de ataque, o rootkit FiveSys está sendo usado em ataques cibernéticos contra jogadores online para roubar credenciais de login e seqüestrar compras no jogo.
Devido à popularidade dos jogos online, muito dinheiro pode estar envolvido – não apenas porque as informações bancárias estão vinculadas às contas, mas também porque itens virtuais de prestígio podem render grandes somas de dinheiro quando vendidos, o que implica que os invasores podem explorar o acesso para roubar e vender. esses itens.
Atualmente, os ataques são direcionados a jogadores na China, onde os pesquisadores acreditam que os atacantes também estão baseados.
Como se livrar de rootkits como o Fivesys?
A remoção de rootkits como o Fivesys pode ser uma tarefa assustadora e complexa. A maioria das soluções antivírus não detecta esses programas maliciosos, por isso é essencial tomar medidas proativas contra eles. A primeira etapa é concluir uma verificação profunda do seu computador que detecte e elimine os rootkits. Em seguida, siga estas etapas:
1. Use um software de remoção de rootkit.
Não confie no Windows Defender ou em outro software de segurança integrado, pois a maioria dos rootkits pode burlar proteções essenciais. Use software especializado, como o Avast One, para proteção completa. O Avast combina a maior rede de detecção de ameaças do mundo com proteção contra malware de aprendizado de máquina em uma ferramenta única e leve, capaz de detectar e remover rootkits e se defender contra todos os tipos de futuras ameaças online.
2. Execute uma varredura de inicialização.
O malware moderno emprega técnicas sofisticadas para evitar a detecção por software antivírus. Os rootkits em um dispositivo que executa um sistema operacional podem enganar as verificações antivírus automatizadas.
Se um programa antivírus solicitar que o sistema operacional abra um arquivo de malware específico, o rootkit pode alterar o fluxo de dados e abrir um arquivo inofensivo. Eles também podem alterar o código de enumeração de um arquivo de malware, que armazena e compartilha informações sobre malware e impede que ele seja incluído em uma verificação.
Os rootkits são detectados durante o processo de inicialização do seu computador por varreduras durante a inicialização. A vantagem de uma varredura de inicialização é que o rootkit geralmente ainda está inativo e incapaz de se esconder em seu sistema.3.
3. Limpe o dispositivo e reinstale o sistema operacional.
Se o software antivírus e uma varredura de inicialização não conseguirem remover o rootkit, tente fazer backup de seus dados, limpar seu dispositivo e instalar do zero. Às vezes, essa é a única opção quando um rootkit está operando nos níveis de inicialização, firmware ou hipervisor.
Primeiro, você deve entender como formatar um disco rígido e clonar um disco rígido para fazer backup de seus arquivos essenciais. Embora seja necessário limpar a unidade C: principal, você ainda pode manter a maioria dos seus dados. Esta é a opção final para remover um rootkit.
A atualização frequente do software antimalware também ajudará a manter seu sistema protegido contra novas tentativas de invasão. Com essas técnicas implementadas, lidar com rootkits existentes e emergentes, como o Fivesys, deve se tornar muito mais simples.
O que podemos fazer para proteger contra rootkits?
Os rootkits são uma séria ameaça à segurança que pode ser difícil de detectar e remover, mas existem medidas preventivas que podem ser tomadas para reduzir as chances. Por exemplo, manter seu sistema operacional e software atualizados garante que você não fique vulnerável a vetores de ataque conhecidos para instalação de rootkit. Um bom gerenciamento de patches é fundamental aqui, e o software antivírus também é obrigatório – mantenha-se atualizado com as definições de vírus para que os invasores tenham menos opções.
Seja cauteloso ao baixar qualquer coisa também - sempre certifique-se de que seja de fontes confiáveis e tenha boas críticas. Desative drivers ou executáveis não assinados, pois eles podem ser pontos de entrada vulneráveis para rootkits. Por fim, um firewall robusto ou um proxy de filtragem da Web ajudará a bloquear invasores que tentam explorar vulnerabilidades em sistemas não corrigidos. Todas essas medidas preventivas oferecem a melhor chance de mitigar infecções por rootkit.
Embora o rootkit esteja sendo usado atualmente para roubar credenciais de login de contas de jogos, ele pode ser usado contra outros alvos no futuro. No entanto, tomando algumas precauções simples de segurança cibernética, você pode evitar ser vítima deste ou de ataques semelhantes.
Por segurança, baixe o software apenas do site do fornecedor ou de fontes confiáveis. Além disso, soluções de segurança modernas podem detectar malware, incluindo rootkits, e impedir sua execução.
É essencial tomar medidas para se proteger contra softwares maliciosos como o FiveSys. Certifique-se de manter seus sistemas atualizados com os patches mais recentes - isso ajudará a protegê-lo contra ameaças conhecidas como essa.
Além disso, use um software antivírus confiável para verificar atividades suspeitas ou software mal-intencionado em seus sistemas de computador. Por fim, fique atento às tentativas de phishing; não clique em links ou abra anexos de fontes desconhecidas, pois eles podem conter malware como o Kovter.
Além de limpar e otimizar seu PC, o BoostSpeed protege a privacidade, diagnostica problemas de hardware, oferece dicas para aumentar a velocidade e fornece mais de 20 ferramentas para cobrir a maioria das necessidades de manutenção e serviço do PC.
Empacotando
As atualizações do 'Patch Tuesday' da Microsoft estão constantemente descobrindo e corrigindo novas vulnerabilidades de dia zero. A Apple também correu para corrigir o macOS no início deste ano, depois que os pesquisadores encontraram uma maneira de contornar seu GateKeeper, quarentena de arquivos e mecanismos de segurança de reconhecimento de firma usando malware disfarçado como um arquivo de documento normal.
A Apple também lançou novas versões de todos os quatro sistemas operacionais um dia antes do lançamento de seu principal produto em setembro para resolver problemas de segurança, como uma vulnerabilidade causada pelo spyware Pegasus do NSO Group, que pode instalar malware nos iPhones dos alvos sem o conhecimento deles.
A descoberta do FiveSys chamou a atenção para o quão vulneráveis somos quando se trata de softwares maliciosos que passam por nossos protocolos de segurança sem serem detectados usando certificados digitais que parecem legítimos, mas falsificados. Adotar medidas proativas ajudará a nos proteger contra esses ataques; manter nossos sistemas atualizados com os patches mais recentes, usar um software antivírus confiável e estar ciente das tentativas de phishing pode ajudar muito a nos proteger de programas mal-intencionados, como rootkits como o FiveSys.