Bitdefender, Microsoft tarafından verilen geçerli bir dijital imzaya sahip rootkit'lerin ortaya çıkmasında bir artış gözlemliyor. Şu anda amaç hala çevrimiçi oyuncular. Ancak diğer hedefler de saldırganlar için karlı olabilir.
Bitdefender Labs uzmanları, çalınan imzaları kötüye kullanmak yerine Microsoft tarafından verilen kendi geçerli dijital imzasını kullanan yeni bir rootkit olan FiveSys'i belirledi. FiveSys'in dijital kimlikleri çalmak ve oyun içi satın alımlara kötü niyetli bir şekilde müdahale etmek için çevrimiçi oyunculara saldırdığı iddia ediliyor. Bilgisayar korsanları, yeni yayınlanan bir Microsoft imzasını kullanarak tamamen yeni bir yol izliyor. Çünkü şimdiye kadar kötü amaçlı yazılımlarının meşru ve güvenilir olduğunu beyan etmek için diğer şirketlerden çalınan imzaları kullandılar. Bu yeni yaklaşım son aylarda giderek daha fazla gözlemlenmektedir.
Microsoft sertifikaları geçerliydi
Sözde gerçek bir dijital Microsoft sertifikası (Resim: Bitdefender).
Bitdefender, Microsoft'u kötüye kullanım konusunda bilgilendirerek gerekli kanıtları sunmuş bunun üzerine yazılım şirketi kısa bir süre sonra bu imzayı geri çekmiştir.
Son aylarda Bitdefender uzmanları, Microsoft WHQL imza sürecinin bir parçası olarak yayınlanan geçerli dijital sinyallerle kötü niyetli sürücülerin çoğaldığını gözlemledi. Son bir yılda gözlemlenen faaliyetler Çin kaynaklıdır. Şu anda ülke ve yerel pazarda bulunan oyunlarla sınırlı ve ekonomik hedefler peşinde koşuyorlar. Uzmanlar, bu saldırıların arkasında çeşitli yaratıcıların olduğunu varsayıyorlar. Bu, kullanılan araçların aynı işlevleri paylaşması ancak farklı şekilde uygulanması gerçeğiyle desteklenir. Rootkit'in ana görevi, İnternet trafiğini özel olarak kurulmuş bir proxy sunucusuna yönlendirmektir. Bunu yapmak için sürücü, tarayıcı için proxy otomatik yapılandırması için yerel bir komut dosyası kullanır.
Kötü amaçlı yazılımlar için dijital imzalara dikkat edin
Uzmanlar, saldırganların gelecekte kötü amaçlı yazılımlarını kamufle etmek için dijital Microsoft imzalarını giderek daha fazla kullanacaklarını varsayıyor. Bu yeni taktiğin ana nedenlerinden biri muhtemelen Microsoft'un yeni sürücü imzalama gereksinimleri olacaktır: Bunlar, Microsoft'un işletim sistemi kabul etmeden önce tüm sürücüleri dijital olarak imzalamasını gerektirir. Bu, sürücü yazılımının işletim sistemi satıcısı tarafından doğrulanmasını ve imzalanmasını sağlar. Ancak sonuç olarak, dijital imzalar artık gerçek geliştirici hakkında herhangi bir gösterge sunmuyor. Bundan kaynaklanan ek bir tehlike: sözde sürücüler için Microsoft imzalarının, birçok kullanıcıyı yanlış bir itibarla kötü amaçlı yazılım yüklemesini kabul etmeleri için aldatması muhtemeldir.
Geçerli bir WHQL dijital imzasına sahip rootkit
Son aylarda sahte sertifikalarla artan etkinlik (Resim: Bitdefender).
Geçerli bir WHQL dijital imzasıyla keşfedilen ilk rootkit olan FiveSys veya Netfilter'ın faaliyetleri, bilgisayar korsanlarının Microsoft'un bir sertifika oluşturmak için gerekliliklerini aşmanın bir yolunu bulduğunu gösteriyor. Bireysel vakalar varsayılamaz. Bunun yerine, diğer kötü amaçlı yazılımlar gelecekte özel olarak verilmiş dijital imzaları kullanacaktır.
Bu durumda, aslında yazılımın meşruiyetini belgelemeyi ve güven oluşturmayı amaçlayan dijital imzalar, saldırganların işletim sistemi çekirdeğine üçüncü taraf modülleri yükleme kısıtlamalarını aşmasına yardımcı olur. Bir rootkit'i başarıyla kurduktan sonra, kötü niyetli geliştiriciler neredeyse sınırsız ayrıcalıkların keyfini çıkarabilir.
Rootkit Riskleri
On yıldan uzun bir süre önce, rootkit'ler siber suçların ön saflarında yer alıyordu. Bu gizli programlar, saldırganlara kurbanların makinelerinde kalıcı bir yer sağlamak ve faaliyetlerini işletim sisteminden ve kötü amaçlı yazılımdan koruma çözümlerinden gizlemek için tasarlanmıştır. İşletim sisteminin çekirdeğindeki kötü amaçlı yazılım, görünüşe göre Windows Vista'nın güvenlik mekanizmaları tarafından en son geri püskürtüldükten sonra yeniden yayılıyor.
Bitdefender.com'da daha fazlası
Bitdefender Hakkında Bitdefender, 500'den fazla ülkede 150 milyondan fazla sistemi koruyan siber güvenlik çözümleri ve antivirüs yazılımında dünya lideridir. 2001 yılında kuruluşundan bu yana şirketin yenilikleri düzenli olarak mükemmel güvenlik ürünleri ve özel müşteriler ve şirketler için cihazlar, ağlar ve bulut hizmetleri için akıllı koruma sağladı. Tercih edilen tedarikçi olarak Bitdefender teknolojisi, dünyanın dağıtılan güvenlik çözümlerinin yüzde 38'inde bulunur ve hem endüstri profesyonelleri, üreticiler hem de tüketiciler tarafından güvenilmekte ve tanınmaktadır. www.bitdefender.de