การตรวจสอบ Fivesys – ลายเซ็นดิจิทัลที่ออกโดย Microsoft โดยไม่ได้รับอนุญาต

เผยแพร่แล้ว: 2022-12-23
เนื้อหา
  • รูทคิทคืออะไร?
  • Fivesys Rootkit คืออะไร?
  • ได้รับลายเซ็นดิจิทัลของ Microsoft อย่างไร
  • จะกำจัดรูทคิทเช่น Fivesys ได้อย่างไร
    • 1. ใช้ซอฟต์แวร์กำจัดรูทคิท
    • 2. เรียกใช้การสแกนเวลาบูต
    • 3. ล้างอุปกรณ์และติดตั้งระบบปฏิบัติการใหม่
  • เราจะทำอย่างไรเพื่อป้องกันรูทคิท
  • ห่อ
การตรวจสอบ Fivesys ลายเซ็นดิจิทัลที่ Microsoft ออกโดยไม่ได้รับอนุญาต

แฮ็กเกอร์ใช้ประโยชน์จากรูทคิทหรือ ซอฟต์แวร์ที่เป็นอันตรายที่ให้สิทธิ์การเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต ซึ่งทางใดทางหนึ่งก็ได้รับการรับรองดิจิทัลจาก Microsoft การค้นพบที่น่าตกใจนี้ทำให้เกิดคำถามสำคัญเกี่ยวกับความเสี่ยงที่เราได้รับจากซอฟต์แวร์ที่เป็นอันตราย มาดูกันดีกว่าว่ารูทคิทนี้ผ่านโปรโตคอลการรักษาความปลอดภัยของ Microsoft อย่างไร

รูทคิทคืออะไร?

รูทคิทเป็นเครื่องมือซอฟต์แวร์ที่เป็นอันตรายซึ่งอาชญากรไซเบอร์สามารถใช้เพื่อควบคุมระบบคอมพิวเตอร์ได้ เครื่องมือเหล่านี้ช่วยให้ผู้โจมตีสามารถซ่อนมัลแวร์และกิจกรรมที่เป็นอันตราย หรือแม้แต่เข้าถึงระบบโดยไม่ถูกตรวจพบ

รูทคิทเป็นสุดยอดผู้ล่าของอาชญากรไซเบอร์เมื่อกว่าทศวรรษที่แล้ว โปรแกรมคอมพิวเตอร์แอบแฝงเหล่านี้ได้รับการออกแบบมาเพื่อให้ผู้โจมตีสามารถตั้งฐานที่มั่นคงบนคอมพิวเตอร์ของเหยื่อ ในขณะที่ปกปิดกิจกรรมที่เป็นอันตรายจากระบบปฏิบัติการและโซลูชันป้องกันมัลแวร์

การบรรเทาความปลอดภัยที่นำมาใช้กับ Windows Vista ได้ขับไล่ผู้บุกรุกเหล่านี้ที่อาศัยอยู่ในเคอร์เนลของระบบปฏิบัติการ แต่บางครั้งก็ปรากฏขึ้นอีกครั้ง

รูทคิทอาจมีแบ็คดอร์ คีย์ล็อกเกอร์ มัลแวร์ขโมยข้อมูล สคริปต์ที่เป็นอันตราย และวิธีการที่ซับซ้อนอื่นๆ ที่ทำให้เจ้าของระบบหรือผู้ดูแลระบบตรวจพบได้ยาก ด้วยการใช้ประโยชน์จากช่องโหว่ พวกเขาสามารถควบคุมระบบโดยไม่ต้องใช้ข้อมูลรับรองผู้ใช้และเข้าถึงข้อมูลที่เป็นความลับที่จัดเก็บไว้

ด้วยเหตุนี้ สิ่งเหล่านี้จึงเป็นภัยคุกคามต่อความปลอดภัยทางไซเบอร์ที่ไม่ควรมองข้าม ในความเป็นจริง เมื่อภัยคุกคามรูทคิทมีความก้าวหน้าและซับซ้อนมากขึ้น จึงมีความจำเป็นมากขึ้นสำหรับองค์กรและบุคคลทั่วไปในการติดตามข่าวสารเกี่ยวกับกลไกการป้องกันล่าสุดที่มีอยู่ และอัปเดตระบบของตนเป็นประจำเพื่อป้องกันการโจมตีดังกล่าว

Fivesys Rootkit คืออะไร?

ตามรายงานล่าสุดของ Bitdefender บริษัทด้านความปลอดภัยทางไซเบอร์ อาชญากรอิเล็กทรอนิกส์ใช้รูทคิทที่มีชื่อว่า “FiveSys” ซึ่งได้รับลายเซ็นอิเล็กทรอนิกส์จาก Microsoft โดยไม่ได้ตั้งใจ

โปรแกรมที่เป็นอันตรายถูกกล่าวหาว่าให้สิทธิ์แก่ผู้โจมตี "โดยไม่จำกัดสิทธิ์" ในระบบที่ติดไวรัส และแฮ็กเกอร์ใช้โปรแกรมดังกล่าวเพื่อกำหนดเป้าหมายไปยังผู้เล่นเกมออนไลน์เพื่อขโมยข้อมูลประจำตัวและหักหลังการซื้อในเกม ตามที่นักวิจัยกล่าวว่า "FiveSys" สามารถเปลี่ยนเส้นทางไปยังการโจรกรรมข้อมูลประเภทอื่นได้

เนื่องจากมีใบรับรองไดรเวอร์ Microsoft Windows Hardware Quality Labs Testing (WHQL) ที่ดูถูกต้องตามกฎหมาย รูทคิท FiveSys จึงสามารถเข้าถึงระบบเป้าหมายได้

WQOS สร้างลายเซ็นดิจิทัลที่ไม่เหมือนใครซึ่งอนุญาตให้ติดตั้งไดรเวอร์ที่ผ่านการรับรองบนคอมพิวเตอร์ Windows ผ่านโปรแกรม Windows Update อย่างเป็นทางการ ทำให้ผู้ใช้ปลายทางมีความมั่นใจ เมื่อโหลดแล้ว รูทคิทจะให้สิทธิ์แก่ผู้สร้างสรรค์เกือบไม่จำกัด

Bitdefender บริษัทรักษาความปลอดภัย ค้นพบการเพิ่มขึ้นของไดรเวอร์ที่เป็นอันตรายพร้อมลายเซ็นอิเล็กทรอนิกส์ที่ถูกต้อง ตามที่บริษัทระบุว่า รูทคิทดังกล่าวช่วยให้ผู้โจมตีสามารถหลบเลี่ยงการรักษาความปลอดภัยและเข้าถึงและควบคุมระบบเป้าหมายได้โดยเปลี่ยนเส้นทางทราฟฟิก HTTP และ HTTPS ไปยังโดเมนบนพร็อกซีเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี

ใบรับรอง WHQL ที่ถูกบุกรุกนั้นคล้ายกับที่ใช้ในรูทคิท Netfilter ซึ่งถูกค้นพบเมื่อต้นปีนี้ Fivesys เป็นรูทคิทตัวที่สองที่ใช้ใบรับรอง Microsoft และ Bitdefender คาดการณ์ว่าการโจมตีเพิ่มเติมจะใช้ใบรับรองไดรเวอร์ที่ถูกต้อง

จากข้อมูลของ Bitdefender FiveSys มีต้นกำเนิดในประเทศจีนและได้รับการมองว่ามีเป้าหมายที่ผู้เล่นเกมออนไลน์ชาวจีนเป็นหลัก ตามที่บริษัทรักษาความปลอดภัย เป้าหมายสูงสุดคือการควบคุมข้อมูลประจำตัวในเกมเพื่อทำการซื้อในเกม Fivesys ยังไม่ถูกพบในป่านอกประเทศจีน

การสุ่มที่รูทคิตนี้เปลี่ยนเส้นทางการรับส่งข้อมูลที่ถูกบุกรุกทำให้การลบออกทำได้ยาก เพื่อทำให้การพยายามลบออกเป็นไปได้ยากขึ้น รูทคิทได้รวมรายชื่อโดเมน 300 รายการบน '.xyz' TLD ที่ดูเหมือนจะสร้างขึ้นแบบสุ่มและจัดเก็บไว้ในรูปแบบที่เข้ารหัสภายในไบนารี

เพื่อป้องกันตัวเอง รูทคิทใช้กลยุทธ์ที่หลากหลาย รวมถึงการป้องกันความสามารถในการแก้ไขรีจิสทรีและป้องกันการติดตั้งรูทคิทอื่นๆ และมัลแวร์จากกลุ่มต่างๆ

เนื่องจากรูปแบบสุ่ม การระบุและปิดโดเมนจึงเป็นเรื่องยาก ในส่วนของ Bitdefender ได้ติดต่อ Microsoft ทันทีเกี่ยวกับการใช้ใบรับรองไดรเวอร์ WHQL Microsoft เพิกถอนลายเซ็นอิเล็กทรอนิกส์อย่างรวดเร็ว

ได้รับลายเซ็นดิจิทัลของ Microsoft อย่างไร

เป็นที่รู้กันว่าอาชญากรไซเบอร์ใช้ใบรับรองดิจิทัลที่ถูกขโมยมา แต่ในกรณีนี้ พวกเขาสามารถขอรับใบรับรองที่ถูกต้องได้ ยังไม่ชัดเจนว่าอาชญากรไซเบอร์สามารถรับใบรับรองที่ถูกต้องได้อย่างไร

ลายเซ็นดิจิทัลเป็นอัลกอริทึมที่ธุรกิจและองค์กรขนาดใหญ่อื่นๆ ใช้เพื่อความปลอดภัย ลายเซ็นอิเล็กทรอนิกส์สร้าง "ลายนิ้วมือเสมือน" ที่เชื่อมโยงกับหน่วยงานเฉพาะและใช้เพื่อตรวจสอบความน่าเชื่อถือ เพื่อเป็นการรักษาความปลอดภัย Microsoft ใช้กระบวนการเซ็นชื่อแบบดิจิทัลเพื่อปฏิเสธโปรแกรมที่ไม่ได้มาจากแหล่งที่เชื่อถือได้

อย่างไรก็ตาม ดูเหมือนว่าโปรโตคอลความปลอดภัยของบริษัทจะไม่ตรงกับรูทคิท “FiveSys” และตัว จัดการอาชญากรไซเบอร์ ซึ่ง สามารถรับโปรแกรมที่เป็นอันตรายของพวกเขาที่ลงนามด้วยตราประทับการอนุมัติดิจิทัลของ Microsoft ไม่ชัดเจนว่าพวกเขาทำสิ่งนี้สำเร็จได้อย่างไร

สามารถส่งเพื่อตรวจสอบและผ่านการตรวจสอบได้ แม้ว่าข้อกำหนดการเซ็นชื่อดิจิทัลจะตรวจจับและหยุดรูทคิทส่วนใหญ่ แต่ก็ไม่สามารถป้องกันได้ ไม่ชัดเจนว่า FiveSys แพร่กระจายอย่างไร แต่นักวิจัยเชื่อว่ามันมาพร้อมกับการดาวน์โหลดซอฟต์แวร์แคร็ก

เมื่อติดตั้งแล้ว รูทคิท FiveSys จะเปลี่ยนเส้นทางการรับส่งข้อมูลทางอินเทอร์เน็ตไปยังพร็อกซีเซิร์ฟเวอร์ ซึ่งทำโดยการติดตั้งใบรับรองรูทแบบกำหนดเอง เพื่อไม่ให้เบราว์เซอร์เตือนเกี่ยวกับตัวตนที่ไม่รู้จักของพร็อกซี มันยังป้องกันมัลแวร์อื่น ๆ จากการเขียนบนไดรเวอร์ ซึ่งเป็นไปได้มากว่าเป็นการพยายามป้องกันอาชญากรไซเบอร์รายอื่นจากการใช้ประโยชน์จากระบบที่ถูกบุกรุก

จากการวิเคราะห์การโจมตี รูทคิท FiveSys ถูกใช้ในการโจมตีทางไซเบอร์กับเกมเมอร์ออนไลน์เพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบและจี้การซื้อในเกม

เนื่องจากความนิยมของเกมออนไลน์ เงินจำนวนมากสามารถมีส่วนร่วมได้ ไม่เพียงเพราะข้อมูลธนาคารเชื่อมโยงกับบัญชีเท่านั้น แต่ยังเป็นเพราะรายการเสมือนจริงที่มีชื่อเสียงสามารถดึงเงินจำนวนมากเมื่อขาย ซึ่งหมายความว่าผู้โจมตีสามารถใช้ประโยชน์จากการเข้าถึงเพื่อขโมยและขาย รายการเหล่านี้

ปัจจุบัน การโจมตีมุ่งเป้าไปที่เกมเมอร์ในจีน ซึ่งนักวิจัยเชื่อว่าผู้โจมตีมีฐานเป็นฐานเช่นกัน

จะกำจัดรูทคิทเช่น Fivesys ได้อย่างไร

การลบรูทคิทเช่น Fivesys อาจเป็นงานที่ยุ่งยากและซับซ้อน โซลูชันป้องกันไวรัสส่วนใหญ่ตรวจไม่พบโปรแกรมที่เป็นอันตรายเหล่านี้ ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องใช้มาตรการเชิงรุกเพื่อต่อต้านโปรแกรมเหล่านั้น ขั้นตอนแรกคือทำการสแกนคอมพิวเตอร์อย่างละเอียดเพื่อตรวจหาและกำจัดรูทคิท ถัดไป ให้ทำตามขั้นตอนเหล่านี้:

1. ใช้ซอฟต์แวร์กำจัดรูทคิท

อย่าพึ่งพา Windows Defender หรือซอฟต์แวร์ความปลอดภัยในตัวอื่นๆ เพราะรูทคิทส่วนใหญ่สามารถหลีกเลี่ยงการป้องกันที่จำเป็นได้ ใช้ซอฟต์แวร์พิเศษ เช่น Avast One เพื่อการป้องกันที่สมบูรณ์ Avast รวมเครือข่ายการตรวจจับภัยคุกคามที่ใหญ่ที่สุดในโลกเข้ากับการป้องกันมัลแวร์แบบแมชชีนเลิร์นนิงเป็นเครื่องมือเดียวที่มีน้ำหนักเบาซึ่งสามารถตรวจจับและลบรูทคิทและป้องกันภัยคุกคามออนไลน์ทุกประเภทในอนาคต

2. เรียกใช้การสแกนเวลาบูต

มัลแวร์สมัยใหม่ใช้เทคนิคที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจพบโดยซอฟต์แวร์ป้องกันไวรัส รูทคิทบนอุปกรณ์ที่ใช้ระบบปฏิบัติการสามารถเอาชนะการสแกนไวรัสอัตโนมัติได้

หากโปรแกรมป้องกันไวรัสร้องขอให้ระบบปฏิบัติการเปิดไฟล์มัลแวร์เฉพาะเจาะจง รูทคิทสามารถเปลี่ยนกระแสข้อมูลและเปิดไฟล์ที่ไม่เป็นอันตรายแทนได้ พวกเขายังสามารถแก้ไขรหัสการแจงนับของไฟล์มัลแวร์ ซึ่งจัดเก็บและแบ่งปันข้อมูลเกี่ยวกับมัลแวร์ และป้องกันไม่ให้รวมอยู่ในการสแกน

ตรวจพบรูทคิทในระหว่างกระบวนการเริ่มต้นคอมพิวเตอร์ของคุณโดยการสแกนเวลาบูต ข้อดีของการสแกนเวลาบูตคือรูทคิทมักจะอยู่เฉยๆ และไม่สามารถซ่อนในระบบของคุณได้3.

3. ล้างอุปกรณ์และติดตั้งระบบปฏิบัติการใหม่

หากซอฟต์แวร์ป้องกันไวรัสและการสแกนขณะบู๊ตไม่สามารถลบรูทคิทได้ ให้ลองสำรองข้อมูล ล้างข้อมูลอุปกรณ์ของคุณ และติดตั้งตั้งแต่ต้น บางครั้งนี่เป็นทางเลือกเดียวเมื่อรูทคิททำงานที่ระดับการบู๊ต เฟิร์มแวร์ หรือไฮเปอร์ไวเซอร์

ก่อนอื่น คุณต้องเข้าใจวิธีฟอร์แมตฮาร์ดไดรฟ์และโคลนฮาร์ดไดรฟ์เพื่อสำรองไฟล์สำคัญของคุณ แม้ว่าคุณอาจต้องล้างไดรฟ์ C: หลัก แต่คุณยังคงสามารถเก็บข้อมูลส่วนใหญ่ของคุณได้ นี่เป็นตัวเลือกสุดท้ายสำหรับการลบรูทคิท

การอัปเดตซอฟต์แวร์ป้องกันมัลแวร์บ่อยๆ จะช่วยให้ระบบของคุณปลอดภัยจากความพยายามครั้งใหม่ในการบุกรุก ด้วยเทคนิคเหล่านี้ การจัดการกับรูทคิทที่มีอยู่และที่เกิดขึ้นใหม่อย่าง Fivesys น่าจะตรงไปตรงมามากขึ้น

เราจะทำอย่างไรเพื่อป้องกันรูทคิท

รูทคิทเป็นภัยคุกคามด้านความปลอดภัยที่ร้ายแรงซึ่งอาจตรวจจับและลบออกได้ยาก แต่มีขั้นตอนป้องกันที่สามารถทำได้เพื่อลดโอกาส ตัวอย่างเช่น การรักษาระบบปฏิบัติการและซอฟต์แวร์ของคุณให้ทันสมัยอยู่เสมอ จะทำให้คุณไม่เสี่ยงต่อการโจมตีเวกเตอร์ที่รู้จักสำหรับการติดตั้งรูทคิท การจัดการแพตช์ที่ดีเป็นกุญแจสำคัญที่นี่ และซอฟต์แวร์ป้องกันไวรัสก็จำเป็นเช่นกัน – ติดตามข่าวสารล่าสุดเกี่ยวกับคำจำกัดความของไวรัส เพื่อให้ผู้โจมตีมีตัวเลือกน้อยลง

ระมัดระวังเมื่อดาวน์โหลดสิ่งใดๆ ด้วยเช่นกัน ตรวจสอบให้แน่ใจเสมอว่ามาจากแหล่งที่น่าเชื่อถือและมีบทวิจารณ์ที่ดี ปิดใช้งานไดรเวอร์หรือไฟล์ปฏิบัติการที่ไม่ได้ลงชื่อ เนื่องจากสิ่งเหล่านี้อาจเป็นจุดเข้าใช้งานที่มีช่องโหว่สำหรับรูทคิท ประการสุดท้าย ไฟร์วอลล์ที่แข็งแกร่งหรือพร็อกซีการกรองเว็บจะช่วยบล็อกผู้โจมตีที่พยายามใช้ประโยชน์จากช่องโหว่ในระบบที่ไม่ได้แพตช์ มาตรการป้องกันทั้งหมดนี้ทำให้คุณมีโอกาสที่ดีที่สุดในการบรรเทาการติดเชื้อรูทคิท

ในขณะที่รูทคิทกำลังถูกใช้เพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบจากบัญชีเกม มันอาจจะถูกใช้กับเป้าหมายอื่นๆ ในอนาคต อย่างไรก็ตาม ด้วยการใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ง่ายๆ สองสามข้อ คุณสามารถหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีนี้หรือการโจมตีที่คล้ายคลึงกันได้

เพื่อความปลอดภัย ให้ดาวน์โหลดซอฟต์แวร์จากเว็บไซต์ของผู้จำหน่ายหรือแหล่งที่เชื่อถือได้เท่านั้น นอกจากนี้ โซลูชันการรักษาความปลอดภัยที่ทันสมัยสามารถตรวจจับมัลแวร์ รวมถึงรูทคิท และป้องกันการดำเนินการของมัน

สิ่งสำคัญคือต้องดำเนินการเพื่อป้องกันตัวเองจากซอฟต์แวร์ที่เป็นอันตราย เช่น FiveSys ตรวจสอบให้แน่ใจว่าคุณอัปเดตระบบของคุณด้วยแพตช์ล่าสุด ซึ่งจะช่วยป้องกันคุณจากภัยคุกคามที่รู้จักเช่นนี้

นอกจากนี้ ให้ใช้ซอฟต์แวร์ป้องกันไวรัสที่เชื่อถือได้เพื่อสแกนหากิจกรรมที่น่าสงสัยหรือซอฟต์แวร์ที่เป็นอันตรายในระบบคอมพิวเตอร์ของคุณ สุดท้าย ระวังความพยายามในการฟิชชิ่ง อย่าคลิกลิงก์หรือเปิดไฟล์แนบจากแหล่งที่ไม่รู้จัก เนื่องจากอาจมีมัลแวร์ เช่น Kovter

ที่แนะนำ
ภาพ BoostSpeed
แก้ไขปัญหาพีซีด้วย Auslogics BoostSpeed

นอกจากการทำความสะอาดและปรับแต่งพีซีของคุณแล้ว BoostSpeed ​​ยังปกป้องความเป็นส่วนตัว วินิจฉัยปัญหาฮาร์ดแวร์ เสนอเคล็ดลับในการเพิ่มความเร็วและมอบเครื่องมือมากกว่า 20 รายการเพื่อให้ครอบคลุมความต้องการในการบำรุงรักษาและบริการพีซีส่วนใหญ่

โลโก้คู่ค้าของ Microsoft
Auslogics BoostSpeed ​​​​เป็นผลิตภัณฑ์ของ Auslogics ซึ่งได้รับการรับรอง Microsoft Silver Application Developer
ดาวน์โหลดฟรี

ห่อ

การอัปเดต 'Patch Tuesday' ของ Microsoft นั้นค้นหาและแก้ไขช่องโหว่ Zero-day ใหม่อย่างต่อเนื่อง นอกจากนี้ Apple ยังเร่งแก้ไข macOS เมื่อต้นปีนี้ หลังจากที่นักวิจัยพบวิธีหลีกเลี่ยงกลไก GateKeeper, การกักกันไฟล์ และการรับรองเอกสาร โดยใช้มัลแวร์ปลอมตัวเป็นไฟล์เอกสารทั่วไป

Apple ยังเปิดตัวระบบปฏิบัติการทั้งสี่เวอร์ชันใหม่หนึ่งวันก่อนเปิดตัวผลิตภัณฑ์หลักในเดือนกันยายนเพื่อแก้ไขปัญหาด้านความปลอดภัย เช่น ช่องโหว่ที่เกิดจากสปายแวร์ Pegasus ของ NSO Group ซึ่งสามารถติดตั้งมัลแวร์บน iPhone ของเป้าหมายโดยที่พวกเขาไม่รู้ตัว

การค้นพบ FiveSys ทำให้ทราบว่าเรามีความเสี่ยงเพียงใดเมื่อซอฟต์แวร์ที่เป็นอันตรายผ่านโปรโตคอลความปลอดภัยของเราโดยตรวจไม่พบโดยใช้ใบรับรองดิจิทัลที่ดูเหมือนถูกต้องตามกฎหมายแต่เป็นของปลอม การดำเนินการเชิงรุกจะช่วยป้องกันเราจากการโจมตีดังกล่าว การรักษาระบบของเราให้อัปเดตด้วยแพตช์ล่าสุด การใช้ซอฟต์แวร์ป้องกันไวรัสที่เชื่อถือได้ และการตระหนักถึงความพยายามในการฟิชชิ่งสามารถช่วยป้องกันตนเองจากโปรแกรมที่เป็นอันตราย เช่น รูทคิทอย่าง FiveSys ได้