Investigarea Fivesys – Semnătura digitală neautorizată emisă de Microsoft
Publicat: 2022-12-23- Ce este un rootkit?
- Ce este Fivesys Rootkit?
- Cum a obținut semnătura digitală Microsoft?
- Cum să scapi de rootkit-uri precum Fivesys?
- 1. Utilizați software-ul de eliminare a rootkit-ului.
- 2. Rulați o scanare la pornire.
- 3. Ștergeți dispozitivul și reinstalați sistemul de operare.
- Ce putem face pentru a ne proteja împotriva rootkit-urilor?
- Încheierea
Hackerii au profitat de un rootkit sau software rău intenționat care acordă acces neautorizat la un sistem informatic , care a obținut cumva sigiliul digital de aprobare al Microsoft. Această descoperire alarmantă ridică întrebări importante despre cât de vulnerabili suntem la software-ul rău intenționat. Să aruncăm o privire mai atentă la acest rootkit și la modul în care a ocolit protocoalele de securitate ale Microsoft.
Ce este un rootkit?
Rootkit-urile sunt instrumente software rău intenționate pe care infractorii cibernetici le pot folosi pentru a obține controlul asupra sistemelor informatice. Aceste instrumente permit atacatorilor să ascundă programele malware și activitățile rău intenționate sau chiar să acceseze un sistem fără a fi detectați.
Rootkit-urile au fost pradătorii de vârf ai criminalității cibernetice în urmă cu mai bine de un deceniu. Aceste programe informatice ascunse au fost concepute pentru a oferi atacatorilor un punct de sprijin neîntrerupt pe computerele victimelor, ascunzând în același timp activitatea rău intenționată din sistemul de operare și soluțiile antimalware.
Atenuările de securitate introduse cu Windows Vista i-au evacuat pe acești intruși care trăiesc în interiorul nucleului sistemului de operare, dar reapar ocazional.
Rootkit-urile pot conține backdoors, keylogger, malware care fură date, scripturi rău intenționate și alte metode sofisticate care fac dificilă detectarea de către proprietarul sau administratorul sistemului. Prin exploatarea vulnerabilităților, aceștia pot prelua controlul asupra unui sistem fără a necesita acreditări ale utilizatorului și pot accesa informațiile confidențiale stocate pe ele.
Ca atare, ele reprezintă o amenințare periculoasă la adresa securității cibernetice, care nu trebuie luată cu ușurință . De fapt, pe măsură ce amenințările rootkit devin mai avansate și mai sofisticate, este din ce în ce mai esențial pentru organizații și indivizi să rămână informați cu privire la cele mai recente mecanisme de apărare disponibile și să-și actualizeze sistemele în mod regulat pentru a se proteja împotriva unor astfel de atacuri.
Ce este Fivesys Rootkit?
Potrivit unui raport recent al firmei de securitate cibernetică Bitdefender, e-criminalii au folosit un rootkit numit „FiveSys” care a primit în mod ciudat o semnătură electronică de la Microsoft.
Programul rău intenționat ar fi acordat atacatorilor „privilegii practic nelimitate” pe sistemele infectate, iar hackerii l-au folosit pentru a viza jucătorii online pentru furtul de acreditări și deturnarea achizițiilor în joc. Potrivit cercetătorilor, „FiveSys” ar putea fi, de asemenea, redirecționat către alte tipuri de furt de date.
Datorită includerii unui certificat de driver Microsoft Windows Hardware Quality Labs Testing (WHQL) cu aspect legitim, rootkit-ul FiveSys a reușit să obțină acces la sistemele vizate.
WQOS generează o semnătură digitală unică, care permite ca driverele certificate să fie instalate pe un computer Windows prin programul oficial Windows Update, oferind utilizatorilor finali încredere. Odată încărcat, rootkit-ul acordă creatorilor săi privilegii aproape nelimitate.
Bitdefender, o firmă de securitate, a descoperit creșterea numărului de drivere rău intenționate cu semnături electronice valide. Potrivit companiei, rootkit-ul în cauză permite atacatorilor să ocolească securitatea și să obțină acces și control asupra unui sistem vizat prin redirecționarea traficului HTTP și HTTPS către domeniile de pe servere proxy controlate de atacator.
Certificatul WHQL compromis este similar cu cel utilizat în rootkit-ul Netfilter, care a fost descoperit la începutul acestui an. Fivesys este al doilea rootkit care folosește un certificat Microsoft, iar Bitdefender prezice că mai multe atacuri vor folosi certificate de driver legitime.
Potrivit Bitdefender, FiveSys este originar din China și a fost văzut că vizează în primul rând jucătorii chinezi de jocuri online. Potrivit companiei de securitate, scopul final este de a obține controlul asupra acreditărilor în jocuri pentru a face achiziții în joc. Fivesys nu a fost încă observat în sălbăticia din afara Chinei.
Aleatoritatea cu care acest rootkit redirecționează traficul compromis face ca eliminarea acestuia să fie dificilă. Pentru a complica potențialele încercări de eliminare, rootkit-ul include o listă de 300 de domenii pe TLD-ul „.xyz” care par a fi generate aleatoriu și stocate într-o formă criptată în interiorul binarului.
Pentru a se proteja, rootkit-ul folosește o varietate de strategii, inclusiv prevenirea posibilității de a edita registrul și prevenirea instalării altor rootkit-uri și malware din diferite grupuri.
Din cauza modelului aleatoriu, identificarea și închiderea domeniilor este dificilă. Bitdefender, la rândul său, a contactat imediat Microsoft cu privire la utilizarea certificatului de șofer WHQL. Microsoft a revocat rapid semnătura electronică.
Cum a obținut semnătura digitală Microsoft?
Se știe că infractorii cibernetici folosesc certificate digitale furate, dar în acest caz, au reușit să obțină unul valabil. Încă nu este clar cum au putut infractorii cibernetici să obțină un certificat valabil.
Semnăturile digitale sunt algoritmi pe care companiile și alte organizații mari îi folosesc pentru securitate. Semnăturile electronice generează o „amprentă virtuală” legată de anumite entități și sunt folosite pentru a verifica fiabilitatea acestora. Ca măsură de securitate, Microsoft folosește un proces de semnare digitală pentru a respinge programele care nu par să provină din surse de încredere.
Cu toate acestea, protocoalele de securitate ale companiei par să nu se potrivească cu rootkit-ul „FiveSys” și cu gestionatorii săi de criminali cibernetici , care au reușit să-și semneze programul rău intenționat cu ștampila de aprobare digitală a Microsoft. Nu este clar cum au reușit acest lucru.
Ar fi putut fi depus spre validare și să treacă cumva verificările. În timp ce cerințele de semnare digitală detectează și opresc majoritatea rootkit-urilor, acestea nu sunt sigure. Nu este clar cum este răspândit FiveSys, dar cercetătorii cred că este inclus cu descărcări de software crack.
Odată instalat, rootkit-ul FiveSys redirecționează traficul de internet către un server proxy, ceea ce face prin instalarea unui certificat rădăcină personalizat, astfel încât browserul să nu avertizeze despre identitatea necunoscută a proxy-ului; de asemenea, împiedică alte programe malware să scrie pe drivere, cel mai probabil în încercarea de a preveni alți criminali cibernetici să exploateze sistemul compromis.
Conform analizei atacurilor, rootkit-ul FiveSys este folosit în atacurile cibernetice împotriva jucătorilor online pentru a fura acreditările de conectare și a deturna achizițiile din joc.
Datorită popularității jocurilor online, pot fi implicați mulți bani – nu numai pentru că informațiile bancare sunt legate de conturi, ci și pentru că articolele virtuale prestigioase pot aduce sume mari de bani atunci când sunt vândute, ceea ce implică faptul că atacatorii ar putea exploata accesul pentru a fura și a vinde. aceste articole.
În prezent, atacurile vizează jucătorii din China, unde cercetătorii cred că se află și atacatorii.
Cum să scapi de rootkit-uri precum Fivesys?
Eliminarea rootkit-urilor precum Fivesys poate fi o sarcină descurajantă și complexă. Majoritatea soluțiilor antivirus nu detectează aceste programe rău intenționate, așa că este esențial să luați măsuri proactive împotriva lor. Primul pas este să finalizați o scanare profundă a computerului dvs. care detectează și elimină rootkit-urile. Apoi, urmați acești pași:
1. Utilizați software-ul de eliminare a rootkit-ului.
Nu vă bazați pe Windows Defender sau pe alt software de securitate încorporat, deoarece majoritatea rootkit-urilor pot ocoli garanțiile esențiale. Utilizați software specializat, cum ar fi Avast One, pentru o protecție completă. Avast combină cea mai mare rețea de detectare a amenințărilor din lume cu protecția împotriva malware-ului de învățare automată într-un singur instrument ușor, capabil să detecteze și să elimine rootkit-urile și să se apere împotriva tuturor tipurilor de viitoare amenințări online.
2. Rulați o scanare la pornire.
Malware modern folosește tehnici sofisticate pentru a evita detectarea de către software-ul antivirus. Rootkiturile de pe un dispozitiv care rulează un sistem de operare pot depăși scanările automate antivirus.
Dacă un program antivirus solicită ca sistemul de operare să deschidă un anumit fișier malware, rootkit-ul poate modifica fluxul de date și poate deschide un fișier inofensiv. De asemenea, pot modifica codul de enumerare al unui fișier malware, care stochează și partajează informații despre malware și împiedică includerea acestuia într-o scanare.
Rootkit-urile sunt detectate în timpul procesului de pornire a computerului prin scanări la pornire. Avantajul unei scanări la pornire este că rootkit-ul este, de obicei, încă inactiv și nu se poate ascunde în sistemul dumneavoastră.3.
3. Ștergeți dispozitivul și reinstalați sistemul de operare.
Dacă software-ul antivirus și o scanare la pornire nu reușesc să elimine rootkit-ul, încercați să faceți o copie de rezervă a datelor, să ștergeți dispozitivul și să instalați de la zero. Aceasta este uneori singura opțiune când un rootkit funcționează la niveluri de boot, firmware sau hypervisor.
În primul rând, trebuie să înțelegeți cum să formatați un hard disk și să clonați un hard disk pentru a face copii de rezervă ale fișierelor esențiale. Deși poate fi necesar să ștergeți unitatea C: principală, puteți păstra în continuare majoritatea datelor. Aceasta este opțiunea finală pentru eliminarea unui rootkit.
Actualizarea frecventă a software-ului anti-malware va ajuta, de asemenea, să vă mențineți sistemul în siguranță de noile încercări de intruziune. Cu aceste tehnici în vigoare, tratarea cu rootkit-uri existente și emergente, cum ar fi Fivesys, ar trebui să devină mult mai simplă.
Ce putem face pentru a ne proteja împotriva rootkit-urilor?
Rootkit-urile sunt o amenințare serioasă de securitate care poate fi dificil de detectat și eliminat, dar există măsuri preventive care pot fi luate pentru a reduce șansele. De exemplu, menținerea actualizate a sistemului de operare și a software-ului vă asigură că nu deveniți vulnerabil la vectorii de atac cunoscuți pentru instalarea rootkit-ului. O bună gestionare a patch-urilor este esențială aici, iar software-ul antivirus este, de asemenea, o necesitate – rămâneți la curent cu definițiile virușilor, astfel încât atacatorii să aibă mai puține opțiuni.
Fiți atenți și atunci când descărcați ceva - asigurați-vă întotdeauna că provine din surse de încredere și are recenzii bune. Dezactivați driverele sau executabilele nesemnate, deoarece acestea pot fi puncte de intrare vulnerabile pentru rootkit-uri. În cele din urmă, un firewall robust sau un proxy de filtrare web va ajuta la blocarea atacatorilor care încearcă să exploateze vulnerabilitățile din sistemele nepatchate. Toate aceste măsuri preventive vă oferă cea mai bună șansă de a atenua infecțiile cu rootkit.
În timp ce rootkit-ul este utilizat în prezent pentru a fura acreditările de conectare din conturile de jocuri, acesta poate fi folosit împotriva altor ținte în viitor. Cu toate acestea, luând câteva măsuri simple de securitate cibernetică, puteți evita să cădeți victima acestui atac sau a unor atacuri similare.
Pentru a fi în siguranță, descărcați software-ul de pe site-ul web al furnizorului sau numai din surse de încredere. În plus, soluțiile moderne de securitate pot detecta malware, inclusiv rootkit-uri, și pot împiedica execuția acestuia.
Este esențial să luați măsuri pentru a vă proteja împotriva software-ului rău intenționat precum FiveSys. Asigurați-vă că vă mențineți sistemele la zi cu cele mai recente corecții - acest lucru vă va ajuta să vă protejați împotriva amenințărilor cunoscute ca acesta.
În plus, utilizați un software antivirus de încredere pentru a căuta activități suspecte sau software rău intenționat pe sistemele computerului dvs. În cele din urmă, fiți conștienți de încercările de phishing; nu faceți clic pe link-uri sau deschideți atașamente din surse necunoscute, deoarece acestea ar putea conține programe malware, cum ar fi Kovter.
Pe lângă curățarea și optimizarea computerului, BoostSpeed protejează confidențialitatea, diagnostichează problemele hardware, oferă sfaturi pentru creșterea vitezei și oferă peste 20 de instrumente pentru a acoperi majoritatea nevoilor de întreținere și service ale PC-ului.
Încheierea
Actualizările Microsoft „Patch Tuesday” descoperă și corectează în mod constant noi vulnerabilități zero-day. De asemenea, Apple s-a grăbit să patcheze macOS la începutul acestui an, după ce cercetătorii au găsit o modalitate de a ocoli mecanismele de securitate GateKeeper, carantină a fișierelor și notarizare folosind malware deghizat ca un fișier document obișnuit.
Apple a lansat, de asemenea, versiuni noi ale tuturor celor patru sisteme de operare cu o zi înainte de lansarea majoră a produsului din septembrie, pentru a rezolva problemele de securitate, cum ar fi o vulnerabilitate cauzată de programul spion Pegasus al Grupului NSO, care ar putea instala malware pe iPhone-urile țintelor fără știrea acestora.
Descoperirea FiveSys a atras atenția asupra cât de vulnerabili suntem când vine vorba de software-ul rău intenționat care trece nedetectat de protocoalele noastre de securitate prin utilizarea certificatelor digitale care par legitime, dar contrafăcute. Luarea de măsuri proactive ne va ajuta să ne protejăm împotriva unor astfel de atacuri; menținerea sistemelor noastre actualizate cu cele mai recente patch-uri, utilizarea unui software antivirus de încredere și conștientizarea încercărilor de phishing ne poate ajuta în mare măsură să ne protejăm de programele rău intenționate, cum ar fi rootkit-uri precum FiveSys.