Исследование Fivesys — несанкционированной цифровой подписи Microsoft

Содержание

• Что такое руткит?
• Что такое руткит Fivesys?
• Как он получил цифровую подпись Microsoft?
• Как избавиться от руткитов, таких как Fivesys?
  • 1. Используйте программное обеспечение для удаления руткитов.
  • 2. Запустите сканирование во время загрузки.
  • 3. Протрите устройство и переустановите операционную систему.
• Что мы можем сделать для защиты от руткитов?
• Подведение итогов

Хакеры воспользовались руткитом или вредоносным программным обеспечением, предоставляющим несанкционированный доступ к компьютерной системе , которое каким-то образом получило цифровую печать одобрения Microsoft. Это тревожное открытие поднимает важные вопросы о том, насколько мы уязвимы для вредоносных программ. Давайте подробнее рассмотрим этот руткит и то, как он обходит протоколы безопасности Microsoft.

Что такое руткит?

Руткиты — это вредоносные программные инструменты, которые киберпреступники могут использовать для получения контроля над компьютерными системами. Эти инструменты позволяют злоумышленникам скрывать вредоносные программы и вредоносные действия или даже получать доступ к системе, не будучи обнаруженными.

Руткиты были главными хищниками киберпреступности более десяти лет назад. Эти скрытые компьютерные программы были разработаны, чтобы предоставить злоумышленникам непрерывный плацдарм на компьютерах жертв, одновременно скрывая вредоносную активность от операционной системы и решений для защиты от вредоносных программ.

Меры по снижению безопасности, представленные в Windows Vista, вытеснили этих злоумышленников из ядра операционной системы, но время от времени они появляются снова.

Руткиты могут содержать бэкдоры, кейлоггеры, вредоносные программы для кражи данных, вредоносные скрипты и другие сложные методы, которые затрудняют обнаружение владельцем или администратором системы. Используя уязвимости, они могут получить контроль над системой, не требуя учетных данных пользователя, и получить доступ к конфиденциальной информации, хранящейся в них.

Таким образом, они представляют собой опасную угрозу кибербезопасности, к которой нельзя относиться легкомысленно . На самом деле, по мере того, как руткит-угрозы становятся все более совершенными и изощренными, организациям и частным лицам все более важно быть в курсе последних доступных защитных механизмов и регулярно обновлять свои системы для защиты от таких атак.

Что такое руткит Fivesys?

Согласно недавнему отчету компании Bitdefender, занимающейся кибербезопасностью, электронные преступники использовали руткит под названием FiveSys, который, как ни странно, получил электронную подпись от Microsoft.

Вредоносная программа якобы предоставила злоумышленникам «практически неограниченные привилегии» в зараженных системах, и хакеры использовали ее для нападения на онлайн-геймеров с целью кражи учетных данных и захвата внутриигровых покупок. По мнению исследователей, «FiveSys» также могла быть перенаправлена ​​на другие виды кражи данных.

Благодаря включению выглядящего легитимным сертификата драйвера Microsoft Windows Hardware Quality Labs Testing (WHQL) руткит FiveSys смог получить доступ к целевым системам.

WQOS создает единственную в своем роде цифровую подпись, которая позволяет устанавливать сертифицированные драйверы на компьютер с Windows через официальную программу Windows Update, что дает конечным пользователям уверенность. После загрузки руткит предоставляет своим создателям почти неограниченные привилегии.

Компания Bitdefender, занимающаяся безопасностью, обнаружила увеличение количества вредоносных драйверов с действительными электронными подписями. По данным компании, рассматриваемый руткит позволяет злоумышленникам обходить систему безопасности и получать доступ и контроль над целевой системой, перенаправляя трафик HTTP и HTTPS на домены на прокси-серверах, контролируемых злоумышленниками.

Скомпрометированный WHQL-сертификат аналогичен тому, что используется в рутките Netfilter, который был обнаружен ранее в этом году. Fivesys — второй руткит, использующий сертификат Microsoft, и Bitdefender прогнозирует, что больше атак будет использовать законные сертификаты драйверов.

Согласно Bitdefender, FiveSys возникла в Китае и была замечена в основном для китайских игроков в онлайн-игры. По словам охранной фирмы, конечной целью является получение контроля над учетными данными в играх для совершения внутриигровых покупок. Fivesys еще не видели в дикой природе за пределами Китая.

Случайность, с которой этот руткит перенаправляет скомпрометированный трафик, затрудняет его удаление. Чтобы усложнить возможные попытки удаления, руткит включает в себя список из 300 доменов в домене верхнего уровня «.xyz», которые, по-видимому, генерируются случайным образом и хранятся в зашифрованном виде внутри двоичного файла.

Чтобы защитить себя, руткит использует различные стратегии, в том числе запрет на редактирование реестра и предотвращение установки других руткитов и вредоносных программ из различных групп.

Из-за случайного шаблона идентификация и закрытие доменов затруднены. Bitdefender, со своей стороны, немедленно связался с Microsoft по поводу использования сертификата драйвера WHQL. Microsoft быстро отозвала электронную подпись.

Как он получил цифровую подпись Microsoft?

Известно, что киберпреступники используют украденные цифровые сертификаты, но в данном случае они смогли получить действительный. До сих пор неясно, как киберпреступники смогли получить действующий сертификат.

Цифровые подписи — это алгоритмы, которые предприятия и другие крупные организации используют для обеспечения безопасности. Электронные подписи генерируют «виртуальные отпечатки пальцев», связанные с конкретными объектами, и используются для проверки их надежности. В качестве меры безопасности Microsoft использует процесс цифровой подписи, чтобы отклонять программы, которые, как представляется, не получены из надежных источников.

Однако протоколы безопасности компании, по-видимому, не могли сравниться с руткитом «FiveSys» и его обработчиками киберпреступников , которые смогли подписать свою вредоносную программу цифровым штампом одобрения Microsoft. Непонятно, как они этого добились.

Он мог быть отправлен на валидацию и каким-то образом прошел проверку. Хотя требования цифровой подписи обнаруживают и останавливают большинство руткитов, они не являются надежными. Неясно, как распространяется FiveSys, но исследователи полагают, что он связан со взломанными загрузками программного обеспечения.

После установки руткит FiveSys перенаправляет интернет-трафик на прокси-сервер, что он делает, устанавливая собственный корневой сертификат, чтобы браузер не предупреждал о неизвестной личности прокси-сервера; он также предотвращает запись других вредоносных программ в драйверы, скорее всего, в попытке предотвратить использование скомпрометированной системы другими киберпреступниками.

Согласно анализу атак, руткит FiveSys используется в кибератаках против онлайн-геймеров для кражи учетных данных для входа и внутриигровых покупок.

Из-за популярности онлайн-игр в них могут быть вовлечены большие деньги — не только потому, что банковская информация связана со счетами, но и потому, что престижные виртуальные предметы могут принести большие суммы денег при продаже, а это означает, что злоумышленники могут использовать доступ для кражи и продажи. эти предметы.

В настоящее время атаки нацелены на геймеров в Китае, где, по мнению исследователей, также базируются злоумышленники.

Как избавиться от руткитов, таких как Fivesys?

Удаление таких руткитов, как Fivesys, может оказаться непростой и сложной задачей. Большинство антивирусных решений не обнаруживают эти вредоносные программы, поэтому важно принимать против них упреждающие меры. Первым шагом является выполнение глубокого сканирования вашего компьютера, которое обнаруживает и устраняет руткиты. Далее выполните следующие действия:

1. Используйте программное обеспечение для удаления руткитов.

Не полагайтесь на Защитник Windows или другое встроенное программное обеспечение для обеспечения безопасности, поскольку большинство руткитов могут обойти основные средства защиты. Используйте специализированное программное обеспечение, такое как Avast One, для полной защиты. Avast объединяет крупнейшую в мире сеть обнаружения угроз с защитой от вредоносных программ с помощью машинного обучения в единый легкий инструмент, способный обнаруживать и удалять руткиты и защищаться от всех типов будущих онлайн-угроз.

2. Запустите сканирование во время загрузки.

Современные вредоносные программы используют сложные методы, чтобы избежать обнаружения антивирусным программным обеспечением. Руткиты на устройстве под управлением операционной системы могут перехитрить автоматическое антивирусное сканирование.

Если антивирусная программа запрашивает у операционной системы открытие определенного вредоносного файла, руткит может изменить поток данных и вместо этого открыть безвредный файл. Они также могут изменить код перечисления вредоносного файла, который хранит и передает информацию о вредоносных программах и предотвращает их включение в сканирование.

Руткиты обнаруживаются во время запуска вашего компьютера с помощью сканирования во время загрузки. Преимущество сканирования во время загрузки состоит в том, что руткит обычно все еще бездействует и не может спрятаться в вашей системе.

3. Протрите устройство и переустановите операционную систему.

Если антивирусное программное обеспечение и сканирование во время загрузки не смогли удалить руткит, попробуйте создать резервную копию данных, очистить устройство и выполнить установку с нуля. Иногда это единственный вариант, когда руткит работает на уровне загрузки, прошивки или гипервизора.

Во-первых, вы должны понимать, как форматировать жесткий диск и клонировать жесткий диск для резервного копирования важных файлов. Хотя вам может понадобиться стереть основной диск C:, вы все равно можете сохранить большую часть своих данных. Это последний вариант удаления руткита.

Частое обновление программного обеспечения для защиты от вредоносных программ также поможет защитить вашу систему от новых попыток вторжения. При наличии этих методов работа с существующими и появляющимися руткитами, такими как Fivesys, должна стать намного проще.

Что мы можем сделать для защиты от руткитов?

Руткиты представляют собой серьезную угрозу безопасности, которую может быть трудно обнаружить и удалить, но есть превентивные меры, которые можно предпринять, чтобы уменьшить вероятность. Например, поддержание вашей операционной системы и программного обеспечения в актуальном состоянии гарантирует, что вы не станете уязвимыми для известных векторов атак для установки руткитов. Хорошее управление исправлениями является ключевым здесь, и антивирусное программное обеспечение также является обязательным — следите за обновлениями с определениями вирусов, чтобы у злоумышленников было меньше возможностей.

Будьте осторожны при загрузке чего-либо — всегда убедитесь, что это из надежных источников и имеет хорошие отзывы. Отключите неподписанные драйверы или исполняемые файлы, поскольку они могут быть уязвимыми точками входа для руткитов. Наконец, надежный брандмауэр или прокси-сервер веб-фильтрации помогут заблокировать злоумышленников, пытающихся воспользоваться уязвимостями в неисправленных системах. Все эти превентивные меры дают вам наилучшие шансы смягчить заражение руткитами.

Хотя в настоящее время руткит используется для кражи учетных данных для входа в игровые аккаунты, в будущем он может быть использован против других целей. Однако, приняв несколько простых мер кибербезопасности, вы можете не стать жертвой этой или подобных атак.

В целях безопасности загружайте программное обеспечение только с веб-сайта поставщика или из надежных источников. Кроме того, современные решения для обеспечения безопасности могут обнаруживать вредоносные программы, в том числе руткиты, и предотвращать их выполнение.

Важно принять меры для защиты от вредоносных программ, таких как FiveSys. Обязательно обновляйте свои системы с помощью последних исправлений — это поможет защитить вас от известных угроз, подобных этой.

Кроме того, используйте надежное антивирусное программное обеспечение для поиска подозрительной активности или вредоносного программного обеспечения в ваших компьютерных системах. Наконец, помните о попытках фишинга; не нажимайте на ссылки и не открывайте вложения из неизвестных источников, так как они могут содержать вредоносные программы, такие как Kovter.

РЕКОМЕНДУЕМЫЕ

Решение проблем с ПК с помощью Auslogics BoostSpeed

Помимо очистки и оптимизации вашего ПК, BoostSpeed ​​защищает конфиденциальность, диагностирует проблемы с оборудованием, предлагает советы по повышению скорости и предоставляет более 20 инструментов для удовлетворения большинства потребностей в обслуживании ПК.

Auslogics BoostSpeed ​​является продуктом Auslogics, сертифицированного Microsoft Silver Application Developer.

БЕСПЛАТНАЯ ЗАГРУЗКА

Подведение итогов

Обновления Microsoft «Вторник исправлений» постоянно обнаруживают и исправляют новые уязвимости нулевого дня. Apple также поспешила исправить macOS в начале этого года после того, как исследователи нашли способ обойти ее механизмы безопасности GateKeeper, карантина файлов и нотариального заверения, используя вредоносное ПО, замаскированное под обычный файл документа.

Apple также выпустила новые версии всех четырех операционных систем за день до своего основного сентябрьского запуска продукта для решения проблем безопасности, таких как уязвимость, вызванная шпионским ПО Pegasus от NSO Group, которое может устанавливать вредоносное ПО на iPhone без их ведома.

Открытие FiveSys привлекло внимание к тому, насколько мы уязвимы, когда речь идет о вредоносном программном обеспечении, которое незаметно обходит наши протоколы безопасности, используя цифровые сертификаты, которые кажутся законными, но являются поддельными. Принятие упреждающих мер поможет защитить нас от таких атак; обновление наших систем с помощью последних исправлений, использование надежного антивирусного программного обеспечения и осведомленность о попытках фишинга могут иметь большое значение для защиты от вредоносных программ, таких как руткиты, такие как FiveSys.