调查 Fivesys – 未经授权的 Microsoft 发布的数字签名

内容

• 什么是 Rootkit？
• 什么是 Fivesys Rootkit？
• 它是如何获得微软的数字签名的？
• 如何摆脱像 Fivesys 这样的 Rootkit？
  • 1.使用rootkit清除软件。
  • 2. 运行启动时扫描。
  • 3. 擦除设备并重新安装操作系统。
• 我们可以做些什么来防止 Rootkit？
• 包起来

黑客一直在利用 rootkit 或允许未经授权访问计算机系统的恶意软件，以某种方式获得了 Microsoft 的数字批准。 这一令人震惊的发现引发了关于我们对恶意软件的脆弱程度的重要问题。 让我们仔细看看这个 rootkit 以及它是如何绕过 Microsoft 的安全协议的。

什么是 Rootkit？

Rootkit 是恶意软件工具，网络罪犯可以使用它们来控制计算机系统。 这些工具允许攻击者隐藏恶意软件和恶意活动，甚至可以在不被发现的情况下访问系统。

十多年前，Rootkit 是网络犯罪的头号掠食者。 这些隐蔽的计算机程序旨在为攻击者提供在受害者计算机上的不间断立足点，同时对操作系统和反恶意软件解决方案隐藏恶意活动。

Windows Vista 引入的安全缓解措施已经驱逐了这些居住在操作系统内核中的入侵者，但他们偶尔会重新出现。

Rootkit 可能包含后门程序、键盘记录程序、数据窃取恶意软件、恶意脚本和其他使系统所有者或管理员难以检测的复杂方法。 通过利用漏洞，他们可以在不需要用户凭据的情况下控制系统并访问存储在其中的机密信息。

因此，它们是对网络安全的危险威胁，绝不能掉以轻心。 事实上，随着 Rootkit 威胁变得越来越先进和复杂，组织和个人越来越有必要随​​时了解可用的最新防御机制并定期更新他们的系统以防止此类攻击。

什么是 Fivesys Rootkit？

根据网络安全公司 Bitdefender 最近的一份报告，电子犯罪分子一直在使用一种名为“FiveSys”的 Rootkit，它诡异地收到了 Microsoft 的电子签名。

据称，该恶意程序授予攻击者在受感染系统上“几乎无限的特权”，黑客利用它来锁定在线游戏玩家，以进行凭据盗窃和游戏内购买劫持。 据研究人员称，“FiveSys”也可能被重定向到其他类型的数据盗窃。

由于包含看起来合法的 Microsoft Windows 硬件质量实验室测试 (WHQL) 驱动程序证书，rootkit FiveSys 能够访问目标系统。

WQOS 生成独一无二的数字签名，允许通过官方 Windows 更新程序将经过认证的驱动程序安装在 Windows 计算机上，从而让最终用户充满信心。 一旦加载，rootkit 就会授予其创建者近乎无限的特权。

安全公司 Bitdefender 发现具有有效电子签名的恶意驱动程序有所增加。 据该公司称，有问题的 Rootkit 允许攻击者通过将 HTTP 和 HTTPS 流量重新路由到攻击者控制的代理服务器上的域来规避安全并获得对目标系统的访问和控制。

受损的 WHQL 证书类似于今年早些时候发现的 Netfilter rootkit 中使用的证书。 Fivesys 是第二个使用 Microsoft 证书的 Rootkit，Bitdefender 预测更多的攻击将使用合法的驱动程序证书。

据 Bitdefender 称，FiveSys 起源于中国，主要针对中国在线游戏玩家。 据这家安全公司称，最终目标是控制游戏中的凭据以进行游戏内购买。 Fivesys 尚未在中国以外的野外被发现。

此 Rootkit 重新路由受感染流量的随机性使其难以移除。 为了使潜在的删除尝试复杂化，rootkit 在“.xyz”TLD 上包含一个 300 个域的列表，这些域似乎是随机生成的，并以加密形式存储在二进制文件中。

为了保护自己，rootkit 采用了多种策略，包括阻止编辑注册表的能力以及防止安装来自不同组织的其他 rootkit 和恶意软件。

由于随机模式，识别和关闭域很困难。 就 Bitdefender 而言，它立即就使用 WHQL 驱动程序证书的问题联系了 Microsoft。 微软迅速撤销了电子签名。

它是如何获得微软的数字签名的？

众所周知，网络犯罪分子会使用窃取的数字证书，但在这种情况下，他们能够获得有效证书。 目前还不清楚网络罪犯是如何获得有效证书的。

数字签名是企业和其他大型组织用于安全的算法。 电子签名生成链接到特定实体的“虚拟指纹”，用于验证其可信度。 作为一项安全措施，Microsoft 采用数字签名过程来拒绝似乎并非来自受信任来源的程序。

然而，该公司的安全协议似乎无法与“FiveSys”rootkit 及其网络犯罪处理者相提并论，后者能够让他们的恶意程序使用 Microsoft 的数字批准标记进行签名。 目前还不清楚他们是如何做到这一点的。

它本可以提交验证并以某种方式通过了检查。 虽然数字签名要求可以检测并阻止大多数 Rootkit，但它们并非万无一失。 目前尚不清楚 FiveSys 是如何传播的，但研究人员认为它与破解软件下载捆绑在一起。

安装后，FiveSys rootkit 会将互联网流量重定向到代理服务器，这是通过安装自定义根证书来实现的，这样浏览器就不会警告代理的未知身份； 它还可以防止其他恶意软件写入驱动程序，很可能是为了防止其他网络罪犯利用受感染的系统。

根据攻击分析，FiveSys rootkit 被用于针对在线游戏玩家的网络攻击，以窃取登录凭据并劫持游戏内购买。

由于网络游戏的流行，可能涉及大量资金——不仅因为银行信息与账户相关联，而且因为有声望的虚拟物品在出售时可以换取大笔资金，这意味着攻击者可以利用访问权限进行盗窃和出售这些项目。

目前，这些攻击针对的是中国的游戏玩家，研究人员认为攻击者也位于中国。

如何摆脱像 Fivesys 这样的 Rootkit？

删除像 Fivesys 这样的 Rootkit 可能是一项艰巨而复杂的任务。 大多数防病毒解决方案都检测不到这些恶意程序，因此必须对它们采取主动措施。 第一步是完成对计算机的深度扫描，以检测并消除 Rootkit。 接下来，执行以下步骤：

1.使用rootkit清除软件。

不要依赖 Windows Defender 或其他内置安全软件，因为大多数 Rootkit 都可以绕过必要的安全措施。 使用 Avast One 等专用软件进行全面保护。 Avast 将世界上最大的威胁检测网络与机器学习恶意软件保护结合到一个单一的轻量级工具中，能够检测和删除 rootkit 并防御所有类型的未来在线威胁。

2. 运行启动时扫描。

现代恶意软件采用复杂的技术来避免被防病毒软件检测到。 运行操作系统的设备上的 Rootkit 可以战胜自动防病毒扫描。

如果防病毒程序请求操作系统打开特定的恶意软件文件，rootkit 可以改变数据流并打开一个无害的文件。 他们还可以更改恶意软件文件的枚举代码，该代码存储和共享有关恶意软件的信息并防止它被包含在扫描中。

Rootkit 是在计算机启动过程中通过启动时扫描检测到的。 启动时扫描的优点是 rootkit 通常仍然处于休眠状态，无法隐藏在您的系统中。3。

3. 擦除设备并重新安装操作系统。

如果防病毒软件和启动时扫描无法删除 rootkit，请尝试备份数据、擦除设备并从头开始安装。 当 Rootkit 在引导、固件或管理程序级别运行时，这有时是唯一的选择。

首先，您必须了解如何格式化硬盘和克隆硬盘来备份您的重要文件。 尽管您可能需要擦除主 C: 驱动器，但您仍然可以保留大部分数据。 这是删除 rootkit 的最后一个选项。

经常更新反恶意软件也有助于保护您的系统免受新的入侵尝试。 有了这些技术，处理像 Fivesys 这样的现有和新兴的 Rootkit 应该会变得更加简单。

我们可以做些什么来防止 Rootkit？

Rootkit 是一种严重的安全威胁，很难检测和删除，但可以采取一些预防措施来减少这种机会。 例如，使您的操作系统和软件保持最新可确保您不会容易受到已知的用于安装 rootkit 的攻击向量的攻击。 良好的补丁管理是这里的关键，防病毒软件也是必须的——保持最新的病毒定义，这样攻击者的选择就更少了。

下载任何东西时也要小心——始终确保它来自可靠的来源并且有良好的评价。 禁用未签名的驱动程序或可执行文件，因为它们可能是 rootkit 的易受攻击的入口点。 最后，强大的防火墙或 Web 过滤代理将有助于阻止攻击者试图利用未修补系统中的漏洞。 所有这些预防措施为您提供了减轻 Rootkit 感染的最佳机会。

虽然 Rootkit 目前用于从游戏帐户窃取登录凭据，但它可能会在未来用于其他目标。 但是，通过采取一些简单的网络安全预防措施，您可以避免成为这种或类似攻击的受害者。

为安全起见，请仅从供应商的网站或可信来源下载软件。 此外，现代安全解决方案可以检测恶意软件（包括 Rootkit）并阻止其执行。

必须采取措施保护自己免受 FiveSys 等恶意软件的侵害。 确保您的系统使用最新的补丁程序保持最新状态——这将有助于保护您免受此类已知威胁的侵害。

此外，使用可靠的防病毒软件扫描计算机系统上的可疑活动或恶意软件。 最后，注意网络钓鱼企图； 不要单击来自未知来源的链接或打开附件，因为它们可能包含 Kovter 等恶意软件。

推荐的

使用 Auslogics BoostSpeed 解决 PC 问题

除了清洁和优化您的 PC 之外，BoostSpeed 还可以保护隐私、诊断硬件问题、提供提高速度的提示，并提供 20 多种工具来满足大多数 PC 维护和服务需求。

Auslogics BoostSpeed 是 Auslogics 的产品，经过 Microsoft Silver Application Developer 认证

免费下载

包起来

微软的“补丁星期二”更新不断发现并修补新的零日漏洞。 今年早些时候，在研究人员找到一种使用伪装成常规文档文件的恶意软件来规避其 GateKeeper、文件隔离和公证安全机制的方法后，Apple 也急于为 macOS 打补丁。

Apple 还在其 9 月主要产品发布前一天发布了所有四个操作系统的新版本，以解决安全问题，例如 NSO Group 的 Pegasus 间谍软件导致的漏洞，该软件可能在目标 iPhone 不知情的情况下安装恶意软件。

FiveSys 的发现让人们注意到，当恶意软件使用看似合法但伪造的数字证书绕过我们的安全协议而未被发现时，我们是多么脆弱。 采取积极措施将有助于保护我们免受此类攻击； 用最新的补丁更新我们的系统，使用可靠的防病毒软件，并注意网络钓鱼企图，这些都可以大大保护我们免受 FiveSys 等 rootkit 等恶意程序的侵害。