調查 Fivesys – 未經授權的 Microsoft 發布的數字簽名

已發表: 2022-12-23
內容
  • 什麼是 Rootkit?
  • 什麼是 Fivesys Rootkit?
  • 它是如何獲得微軟的數字簽名的?
  • 如何擺脫像 Fivesys 這樣的 Rootkit?
    • 1.使用rootkit清除軟件。
    • 2. 運行啟動時掃描。
    • 3. 擦除設備並重新安裝操作系統。
  • 我們可以做些什麼來防止 Rootkit?
  • 包起來
調查 Fivesys 未經授權的 Microsoft 發布的數字簽名

黑客一直在利用 rootkit 或允許未經授權訪問計算機系統的惡意軟件,以某種方式獲得了 Microsoft 的數字批准。 這一令人震驚的發現引發了關於我們對惡意軟件的脆弱程度的重要問題。 讓我們仔細看看這個 rootkit 以及它是如何繞過 Microsoft 的安全協議的。

什麼是 Rootkit?

Rootkit 是惡意軟件工具,網絡罪犯可以使用它們來控制計算機系統。 這些工具允許攻擊者隱藏惡意軟件和惡意活動,甚至可以在不被發現的情況下訪問系統。

十多年前,Rootkit 是網絡犯罪的頭號掠食者。 這些隱蔽的計算機程序旨在為攻擊者提供在受害者計算機上的不間斷立足點,同時對操作系統和反惡意軟件解決方案隱藏惡意活動。

Windows Vista 引入的安全緩解措施已經驅逐了這些居住在操作系統內核中的入侵者,但他們偶爾會重新出現。

Rootkit 可能包含後門程序、鍵盤記錄程序、數據竊取惡意軟件、惡意腳本和其他使系統所有者或管理員難以檢測的複雜方法。 通過利用漏洞,他們可以在不需要用戶憑據的情況下控制系統並訪問存儲在其中的機密信息。

因此,它們是對網絡安全的危險威脅,絕不能掉以輕心。 事實上,隨著 Rootkit 威脅變得越來越先進和復雜,組織和個人越來越有必要隨時了解可用的最新防禦機制並定期更新他們的系統以防止此類攻擊。

什麼是 Fivesys Rootkit?

根據網絡安全公司 Bitdefender 最近的一份報告,電子犯罪分子一直在使用一種名為“FiveSys”的 Rootkit,它詭異地收到了 Microsoft 的電子簽名。

據稱,該惡意程序授予攻擊者在受感染系統上“幾乎無限的特權”,黑客利用它來鎖定在線遊戲玩家,以進行憑據盜竊和遊戲內購買劫持。 據研究人員稱,“FiveSys”也可能被重定向到其他類型的數據盜竊。

由於包含看起來合法的 Microsoft Windows 硬件質量實驗室測試 (WHQL) 驅動程序證書,rootkit FiveSys 能夠訪問目標系統。

WQOS 生成獨一無二的數字簽名,允許通過官方 Windows 更新程序將經過認證的驅動程序安裝在 Windows 計算機上,從而讓最終用戶充滿信心。 一旦加載,rootkit 就會授予其創建者近乎無限的特權。

安全公司 Bitdefender 發現具有有效電子簽名的惡意驅動程序有所增加。 據該公司稱,有問題的 Rootkit 允許攻擊者通過將 HTTP 和 HTTPS 流量重新路由到攻擊者控制的代理服務器上的域來規避安全並獲得對目標系統的訪問和控制。

受損的 WHQL 證書類似於今年早些時候發現的 Netfilter rootkit 中使用的證書。 Fivesys 是第二個使用 Microsoft 證書的 Rootkit,Bitdefender 預測更多的攻擊將使用合法的驅動程序證書。

據 Bitdefender 稱,FiveSys 起源於中國,主要針對中國在線遊戲玩家。 據這家安全公司稱,最終目標是控制遊戲中的憑據以進行遊戲內購買。 Fivesys 尚未在中國以外的野外被發現。

此 Rootkit 重新路由受感染流量的隨機性使其難以移除。 為了使潛在的刪除嘗試複雜化,rootkit 在“.xyz”TLD 上包含一個 300 個域的列表,這些域似乎是隨機生成的,並以加密形式存儲在二進製文件中。

為了保護自己,rootkit 採用了多種策略,包括阻止編輯註冊表的能力以及防止安裝來自不同組織的其他 rootkit 和惡意軟件。

由於隨機模式,識別和關閉域很困難。 就 Bitdefender 而言,它立即就使用 WHQL 驅動程序證書的問題聯繫了 Microsoft。 微軟迅速撤銷了電子簽名。

它是如何獲得微軟的數字簽名的?

眾所周知,網絡犯罪分子會使用竊取的數字證書,但在這種情況下,他們能夠獲得有效證書。 目前還不清楚網絡罪犯是如何獲得有效證書的。

數字簽名是企業和其他大型組織用於安全的算法。 電子簽名生成鏈接到特定實體的“虛擬指紋”,用於驗證其可信度。 作為一項安全措施,Microsoft 採用數字簽名過程來拒絕似乎並非來自受信任來源的程序。

然而,該公司的安全協議似乎無法與“FiveSys”rootkit 及其網絡犯罪處理者相提並論,後者能夠讓他們的惡意程序使用 Microsoft 的數字批准標記進行簽名。 目前還不清楚他們是如何做到這一點的。

它本可以提交驗證並以某種方式通過了檢查。 雖然數字簽名要求可以檢測並阻止大多數 Rootkit,但它們並非萬無一失。 目前尚不清楚 FiveSys 是如何傳播的,但研究人員認為它與破解軟件下載捆綁在一起。

安裝後,FiveSys rootkit 會將互聯網流量重定向到代理服務器,這是通過安裝自定義根證書來實現的,這樣瀏覽器就不會警告代理的未知身份; 它還可以防止其他惡意軟件寫入驅動程序,很可能是為了防止其他網絡罪犯利用受感染的系統。

根據攻擊分析,FiveSys rootkit 被用於針對在線遊戲玩家的網絡攻擊,以竊取登錄憑據並劫持遊戲內購買。

由於網絡遊戲的流行,可能涉及大量資金——不僅因為銀行信息與賬戶相關聯,而且因為有聲望的虛擬物品在出售時可以換取大筆資金,這意味著攻擊者可以利用訪問權限進行盜竊和出售這些項目。

目前,這些攻擊針對的是中國的遊戲玩家,研究人員認為攻擊者也位於中國。

如何擺脫像 Fivesys 這樣的 Rootkit?

刪除像 Fivesys 這樣的 Rootkit 可能是一項艱鉅而復雜的任務。 大多數防病毒解決方案都檢測不到這些惡意程序,因此必須對它們採取主動措施。 第一步是完成對計算機的深度掃描,以檢測並消除 Rootkit。 接下來,執行以下步驟:

1.使用rootkit清除軟件。

不要依賴 Windows Defender 或其他內置安全軟件,因為大多數 Rootkit 都可以繞過必要的安全措施。 使用 Avast One 等專用軟件進行全面保護。 Avast 將世界上最大的威脅檢測網絡與機器學習惡意軟件保護結合到一個單一的輕量級工具中,能夠檢測和刪除 rootkit 並防御所有類型的未來在線威脅。

2. 運行啟動時掃描。

現代惡意軟件採用複雜的技術來避免被防病毒軟件檢測到。 運行操作系統的設備上的 Rootkit 可以戰勝自動防病毒掃描。

如果防病毒程序請求操作系統打開特定的惡意軟件文件,rootkit 可以改變數據流並打開一個無害的文件。 他們還可以更改惡意軟件文件的枚舉代碼,該代碼存儲和共享有關惡意軟件的信息並防止它被包含在掃描中。

Rootkit 是在計算機啟動過程中通過啟動時掃描檢測到的。 啟動時掃描的優點是 rootkit 通常仍然處於休眠狀態,無法隱藏在您的系統中。3。

3. 擦除設備並重新安裝操作系統。

如果防病毒軟件和啟動時掃描無法刪除 rootkit,請嘗試備份數據、擦除設備並從頭開始安裝。 當 Rootkit 在引導、固件或管理程序級別運行時,這有時是唯一的選擇。

首先,您必須了解如何格式化硬盤和克隆硬盤來備份您的重要文件。 儘管您可能需要擦除主 C: 驅動器,但您仍然可以保留大部分數據。 這是刪除 rootkit 的最後一個選項。

經常更新反惡意軟件也有助於保護您的系統免受新的入侵嘗試。 有了這些技術,處理像 Fivesys 這樣的現有和新興的 Rootkit 應該會變得更加簡單。

我們可以做些什麼來防止 Rootkit?

Rootkit 是一種嚴重的安全威脅,很難檢測和刪除,但可以採取一些預防措施來減少這種機會。 例如,使您的操作系統和軟件保持最新可確保您不會容易受到已知的用於安裝 rootkit 的攻擊向量的攻擊。 良好的補丁管理是這裡的關鍵,防病毒軟件也是必須的——保持最新的病毒定義,這樣攻擊者的選擇就更少了。

下載任何東西時也要小心——始終確保它來自可靠的來源並且有良好的評價。 禁用未簽名的驅動程序或可執行文件,因為它們可能是 rootkit 的易受攻擊的入口點。 最後,強大的防火牆或 Web 過濾代理將有助於阻止攻擊者試圖利用未修補系統中的漏洞。 所有這些預防措施為您提供了減輕 Rootkit 感染的最佳機會。

雖然 Rootkit 目前用於從遊戲帳戶竊取登錄憑據,但它可能會在未來用於其他目標。 但是,通過採取一些簡單的網絡安全預防措施,您可以避免成為這種或類似攻擊的受害者。

為安全起見,請僅從供應商的網站或可信來源下載軟件。 此外,現代安全解決方案可以檢測惡意軟件(包括 Rootkit)並阻止其執行。

必須採取措施保護自己免受 FiveSys 等惡意軟件的侵害。 確保您的系統使用最新的補丁程序保持最新狀態——這將有助於保護您免受此類已知威脅的侵害。

此外,使用可靠的防病毒軟件掃描計算機系統上的可疑活動或惡意軟件。 最後,注意網絡釣魚企圖; 不要單擊來自未知來源的鏈接或打開附件,因為它們可能包含 Kovter 等惡意軟件。

推薦的
BoostSpeed 圖片
使用 Auslogics BoostSpeed 解決 PC 問題

除了清潔和優化您的 PC 之外,BoostSpeed 還可以保護隱私、診斷硬件問題、提供提高速度的提示,並提供 20 多種工具來滿足大多數 PC 維護和服務需求。

微軟合作夥伴徽標
Auslogics BoostSpeed 是 Auslogics 的產品,經過 Microsoft Silver Application Developer 認證
免費下載

包起來

微軟的“補丁星期二”更新不斷發現並修補新的零日漏洞。 今年早些時候,在研究人員找到一種使用偽裝成常規文檔文件的惡意軟件來規避其 GateKeeper、文件隔離和公證安全機制的方法後,Apple 也急於為 macOS 打補丁。

Apple 還在其 9 月主要產品發布前一天發布了所有四個操作系統的新版本,以解決安全問題,例如 NSO Group 的 Pegasus 間諜軟件導致的漏洞,該軟件可能在目標 iPhone 不知情的情況下安裝惡意軟件。

FiveSys 的發現讓人們注意到,當惡意軟件使用看似合法但偽造的數字證書繞過我們的安全協議而未被發現時,我們是多麼脆弱。 採取積極措施將有助於保護我們免受此類攻擊; 用最新的補丁更新我們的系統,使用可靠的防病毒軟件,並註意網絡釣魚企圖,這些都可以大大保護我們免受 FiveSys 等 rootkit 等惡意程序的侵害。