Die Rückkehr der Rootkits – signiert von Microsoft

Published by hyph on


Sie sind wieder da! In einem Forschungsbericht dokumentiert das Sicherheitsunternehmen Bitdefender das verstärkte Wiederauftauchen von Rootkits in den vergangenen Monaten. Diese extrem bösartigen Schadprogramme dienen dazu, Cyberkriminellen einen dauerhaften Zugang zu fremden Systemen zu verschaffen. Dazu nisten sie sich im Kernel des Betriebssystems ein und verbergen sich und ihre Aktivitäten vor dem Betriebssystem und Malware-Scannern. Mit Einführung der Schutzmaßnahmen von Windows Vista, nach denen Code, der im Kernel-Modus läuft, vor Freigabe getestet und signiert werden muss eine, war der Spuk zunächst vorbei.

Mit dem nun entdeckten FiveSys ist zum zweiten Mal in wenigen Monaten verstärkt ein Rootkit aufgetaucht, das über eine gültige, von Microsoft über den WHQL-Zertifizierungsprozess ausgestellte digitale Signatur verfügt. Mit einer solchen gelingt es Angreifern, die Betriebssystembeschränkungen zu umgehen und eigene Module in den Kernel zu laden.

Auffallend ist, dass die Kriminellen anders vorgehen als früher: Während sie in der Vergangenheit von Unternehmen gestohlene digitale Zertifikate verwendeten, um ihre Treiber zu signieren, ist es ihnen bei FiveSys und vor wenigen Monaten schon beim Netfilter-Rootkit gelungen, die Treiber in den Zertifizierungsprozess von Microsoft einzuschleusen und signieren zu lassen. Nachdem Bitdefender Microsoft über den Missbrauch informierte, rief das Unternehmen die Signatur zurück.

Der Ursprung der beobachteten Aktivitäten lässt sich auf China zurückführen. Die Sicherheitsforscher vermuten verschiedene Urheber hinter den Rootkits, denn die Implementierungen unterscheiden sich deutlich. Die Funktionen sind allerdings gleich: Die Rootkits sollen den Internetverkehr auf einen speziellen Proxy-Server umleiten. Dazu verwendet der Treiber lokal ein Skript zur Proxy-Autokonfiguration für den Browser. Derzeit zielen die Machenschaften auf die Gaming-Branche, insbesondere auf den Diebstahl von Anmeldeinformationen und das Übernehmen von In-Game-Käufen (In Game Purchase Hijacking).

Die Forscher sehen hier den Beginn einer Entwicklung: Da die Kriminellen anscheinend einen Weg gefunden haben, Microsofts Sicherheitsvorgaben zu umgehen, ist zukünftig mit weiteren Fällen zu rechnen, in denen Schadsoftware mit eigens ausgestellten digitalen Signaturen ihr Unwesen treibt. Weitere technische Details sowie die Anzeichen für einen Befall (Indicators of Compromise) finden sich im Fivesys-Whitepaper.

Lesen Sie dazu auch:

Mehr von iX Magazin

Mehr von iX Magazin

Mehr von iX Magazin

Mehr von iX Magazin


(ur)

Zur Startseite

Categories: Uncategorized

0 Comments

Leave a Reply

Avatar placeholder

Your email address will not be published.