Bitdefender спостерігає збільшення кількості руткітів із дійсним цифровим підписом від Microsoft. Наразі ціллю залишаються онлайн-ігри. Але інші цілі також можуть бути прибутковими для зловмисників.
Фахівці Bitdefender Labs ідентифікували FiveSys, новий руткіт, який використовує власний дійсний цифровий підпис, виданий Microsoft, замість зловживання вкраденими підписами. FiveSys нібито атакує онлайн-геймерів, щоб викрасти цифрові дані та зловмисно втручатися в покупки в грі. Використовуючи нещодавно випущений підпис Microsoft, хакери вибирають абсолютно новий шлях. Оскільки досі вони використовували підписи, вкрадені в інших компаній, щоб оголосити своє шкідливе програмне забезпечення законним і надійним. Цей новий підхід все частіше спостерігається в останні місяці.
Сертифікати Microsoft були дійсними
Нібито справжній цифровий сертифікат Microsoft (Зображення: Bitdefender).
Bitdefender повідомив Microsoft про неправомірне використання та надав відповідні докази, після чого компанія-розробник через короткий час відкликала цей підпис.
В останні місяці експерти Bitdefender спостерігали збільшення кількості шкідливих драйверів із дійсними цифровими сигналами, які видаються як частина процесу підпису Microsoft WHQL. Діяльність, яка спостерігалася протягом минулого року, походить з Китаю. Зараз вони обмежені країною та іграми, доступними на місцевому ринку, і переслідують економічні цілі. Експерти припускають, що за цими атаками стоять різні організатори. Це підтверджується тим фактом, що використовувані інструменти мають однакові функції, але реалізовані по-різному. Основним завданням руткіта є перенаправлення інтернет-трафіку на спеціально налаштований проксі-сервер. Для цього драйвер використовує локальний сценарій автоналаштування проксі для браузера.
Остерігайтеся цифрових підписів шкідливих програм
Експерти припускають, що в майбутньому зловмисники будуть все частіше використовувати цифрові підписи Microsoft для маскування своїх шкідливих програм. Однією з головних причин цієї нової тактики, ймовірно, є нові вимоги Microsoft щодо підпису драйверів: вони вимагають від Microsoft цифрового підпису всіх драйверів, перш ніж операційна система їх прийме. Це гарантує, що програмне забезпечення драйвера перевірено та підписано постачальником операційної системи. У результаті, однак, цифрові підписи більше не пропонують жодних ознак фактичного розробника. Додаткова небезпека, яка виникає внаслідок цього: підписи Microsoft для гаданих драйверів, ймовірно, введуть в оману багатьох користувачів, щоб вони погодилися на встановлення шкідливого програмного забезпечення з фальшивою хорошою репутацією.
Руткіт з дійсним цифровим підписом WHQL
Збільшення активності з підробленими сертифікатами в останні місяці (Зображення: Bitdefender).
Діяльність FiveSys або Netfilter, першого виявленого руткіта з дійсним цифровим підписом WHQL, показує, що хакери знайшли спосіб обійти вимоги Microsoft щодо створення сертифіката. Окремі випадки не можна припускати. Навпаки, інші шкідливі програми в майбутньому використовуватимуть спеціально створені цифрові підписи.
У цьому випадку цифрові підписи, які власне і призначені для документування легітимності програмного забезпечення та створення довіри, допомагають зловмисникам обійти обмеження на завантаження сторонніх модулів у ядро операційної системи. Після успішної інсталяції руткіта зловмисники можуть користуватися практично необмеженими привілеями.
Ризики руткіта
Більше десяти років тому руткіти були в авангарді кіберзлочинності. Ці секретні програми створені, щоб надати зловмисникам постійне місце на машинах жертв і приховати їхню діяльність від операційної системи та рішень для захисту від шкідливих програм. Зловмисне програмне забезпечення в ядрі операційної системи, мабуть, знову поширюється після того, як востаннє було відштовхнуто механізмами безпеки Windows Vista.
Більше на Bitdefender.com
Про Bitdefender Bitdefender є світовим лідером у сфері рішень для кібербезпеки та антивірусного програмного забезпечення, що захищає понад 500 мільйонів систем у понад 150 країнах. З моменту заснування в 2001 році інновації компанії регулярно забезпечували відмінні продукти безпеки та інтелектуальний захист для пристроїв, мереж і хмарних сервісів для приватних клієнтів і компаній. Як найкращий постачальник, технологія Bitdefender міститься в 38 відсотках розгорнутих у світі рішень безпеки, їй довіряють і визнають професіонали галузі, виробники та споживачі. www.bitdefender.de