Rootkits mit von Microsoft ausgestellter gültiger digitaler Signatur

Beitrag teilen

Bitdefender beobachtet häufigeres Vorkommen von Rootkits mit von Microsoft ausgestellter gültiger digitaler Signatur. Aktuell zielt man noch auf Online Gamer. Aber auch andere Ziele können für die Angreifer rentabel sein.

Die Experten der Bitdefender-Labs haben mit FiveSys ein neues Rootkit identifiziert, welches eine eigene, von Microsoft ausgegebene und gültige digitale Signatur verwendet, anstatt gestohlene Signaturen zu missbrauchen. FiveSys attackiert mutmaßlich Online-Gamer, um digitale Identitäten zu stehlen und sich böswillig bei In-Game-Käufen einzuschalten. Indem die Hacker eine neu ausgestellte Microsoft-Signatur verwenden, verfolgen sie einen völlig neuen Weg. Denn bisher verwendeten sie von anderen Unternehmen gestohlene Signaturen, um ihre Malware als legitim und glaubwürdig zu erklären. Dieses neuartige Vorgehen wurden in den letzten Monaten verstärkt beobachtet.

Anzeige

Microsoft Zertifikate waren gültig

Ein vermeintlich echtes digitales Microsoft-Zertifikat (Bild: Bitdefender).

Bitdefender hat Microsoft über den Missbrauch informiert und die passenden Belege geliefert, worauf das Software-Unternehmen diese Signatur nach kurzer Zeit zurückrief.

In den letzten Monaten haben Bitdefender-Experten verstärkt beobachtet, wie bösartige Treiber mit gültigen digitalen Signalen, die im Rahmen des Microsoft WHQL-Signaturprozesses ausgegeben wurden, sich stärker verbreiten. Die seit einem Jahr beobachteten Aktivitäten haben ihren Ursprung in China. Sie beschränken sich zurzeit auf das Land und auf am dortigen Markt erhältliche Spiele und verfolgen wirtschaftliche Ziele. Die Experten gehen davon aus, dass verschiedene Urheber hinter diesen Angriffen stehen. Dafür spricht, dass die verwendeten Tools dieselben Funktionalitäten teilen, aber unterschiedlich implementiert sind. Die Hauptaufgabe des Rootkit ist es, Internet-Verkehr auf einen eigens eingerichteten Proxy-Server umzuleiten. Dafür verwendet der Treiber lokal ein Skript zur Proxy-Autokonfiguration für den Browser.

Vorsicht vor digitalen Signaturen für Malware

Die Experten gehen davon aus, dass Angreifer in Zukunft verstärkt digitale Microsoft-Signaturen zum Tarnen ihrer Malware verwenden werden. Ein Hauptgrund für diese neue Taktik dürften die neuen Vorgaben von Microsoft zum Signieren von Treibern sein: Diese verlangen eine digitale Signatur von Microsoft für alle Treiber, ehe das Betriebssystem diese akzeptiert. Das stellt sicher, dass die Treibersoftware vom Verkäufer des Betriebssystems validiert und signiert wird. Dadurch bieten digitale Signaturen aber keinerlei Hinweise mehr auf die tatsächlichen Entwickler. Eine zusätzliche Gefahr, die sich daraus ergibt: Die Microsoft-Signaturen für vermeintliche Treiber dürften viele Anwender täuschen, so dass sie die Installation einer Malware mit fälschlicherweise gutem Leumund akzeptieren.

Rootkit mit einer gültigen digitalen WHQL-Signatur

Verstärkte Aktivitäten mit gefälschten Zertifikaten in den letzten Monaten (Bild: Bitdefender).

Die Aktivitäten von FiveSys oder von Netfilter, dem als erstes entdeckten Rootkit mit einer gültigen digitale WHQL-Signatur, zeigen, dass Hacker einen Weg gefunden haben, die Microsoft-Vorgaben für das Erstellen eines Zertifikates zu umgehen. Von Einzelfällen ist nicht auszugehen. Vielmehr wird weitere Schadsoftware in Zukunft eigens ausgestellte digitale Signaturen verwenden.

Digitale Signaturen, welche eigentlich die Legitimität einer Software dokumentieren und Vertrauen schaffen sollen, helfen in diesem Fall also Angreifern, die Restriktionen für das Laden von Modulen von Drittanbietern in den Kernel des Betriebssystems zu umgehen. Nach der erfolgreichen Installation eines Rootkit können die bösartigen Entwickler praktisch uneingeschränkte Privilegien nutzen.

Rootkit-Risiken

Vor mehr als einem Jahrzehnt waren Rootkits die Speerspitze der Cyberkriminalität. Diese geheimen Programme wurden entwickelt, um Angreifern einen ständigen Platz auf den Opferrechnern zu verschaffen und deren Aktivitäten vor dem Betriebssystem sowie vor Antimalware-Lösungen zu verbergen. Die Schadsoftware im Kernel des Betriebssystems verbreitet sich offenbar wieder, nachdem sie zuletzt durch die Sicherheitsmechanismen von Windows Vista zurückgedrängt worden war.

Mehr bei Bitdefender.com

 


Über Bitdefender

Bitdefender ist ein weltweit führender Anbieter von Cybersicherheitslösungen und Antivirensoftware und schützt über 500 Millionen Systeme in mehr als 150 Ländern. Seit der Gründung im Jahr 2001 sorgen Innovationen des Unternehmens regelmäßig für ausgezeichnete Sicherheitsprodukte und intelligenten Schutz für Geräte, Netzwerke und Cloud-Dienste von Privatkunden und Unternehmen. Als Zulieferer erster Wahl befindet sich Bitdefender-Technologie in 38 Prozent der weltweit eingesetzten Sicherheitslösungen und genießt Vertrauen und Anerkennung bei Branchenexperten, Herstellern und Kunden gleichermaßen. www.bitdefender.de


 

Passende Artikel zum Thema

ROC – Risk Operations Center in der Cloud

Branchenweit ist es das erste seiner Art: Das Risk Operations Center (ROC) mit Enterprise TruRisk Management (ETM). Die Qualys-Lösung ermöglicht ➡ Weiterlesen

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen