De terugkeer van de rootkits – ondertekend door Microsoft


Je bent terug! In een onderzoeksrapport documenteert het beveiligingsbedrijf Bitdefender de toegenomen terugkeer van rootkits in de afgelopen maanden. Deze uiterst kwaadaardige kwaadaardige programma’s worden gebruikt om cybercriminelen permanent toegang te geven tot systemen van derden. Om dit te doen nestelen ze zich in de kernel van het besturingssysteem en verbergen ze zichzelf en hun activiteiten voor het besturingssysteem en malwarescanners. Met de introductie van de beschermende maatregelen van Windows Vista, volgens welke code die in kernelmodus draait, getest en ondertekend moet worden voor release, was het spook voor nu voorbij.

Met het inmiddels ontdekte FiveSys is er voor de tweede keer in een paar maanden tijd een rootkit ontstaan WHQL-certificeringsproces afgegeven digitale handtekening. Hiermee slagen aanvallers erin de beperkingen van het besturingssysteem te omzeilen en hun eigen modules in de kernel te laden.

Opvallend is dat de criminelen anders te werk gaan dan voorheen: waar ze in het verleden digitale certificaten van bedrijven gebruikten om hun chauffeurs te ondertekenen, slaagden ze er bij FiveSys en een paar maanden geleden met de Netfilter rootkit in om de chauffeurs mee te nemen in het gesmokkelde certificeringsproces in en ondertekend door Microsoft. Nadat Bitdefender Microsoft op de hoogte had gesteld van het misbruik, riep het bedrijf de handtekening terug.

De oorsprong van de waargenomen activiteiten is terug te voeren op China. De beveiligingsonderzoekers vermoeden verschillende auteurs achter de rootkits, omdat de implementaties aanzienlijk verschillen. De functies zijn echter hetzelfde: de rootkits zijn bedoeld om internetverkeer om te leiden naar een speciale proxyserver. Het stuurprogramma gebruikt lokaal een script voor automatische proxyconfiguratie voor de browser. De machinaties zijn momenteel gericht op de game-industrie, met name diefstal van inloggegevens en kaping van in-game aankopen.

De onderzoekers zien hier het begin van een ontwikkeling: aangezien de criminelen blijkbaar een manier hebben gevonden om de beveiligingsvereisten van Microsoft te omzeilen, zijn er in de toekomst meer gevallen te verwachten waarin malware grote schade aanricht met speciaal uitgegeven digitale handtekeningen. Verdere technische details en tekenen van een besmetting (Indicators of Compromise) vindt u in Whitepaper van Fivesys.

Hierover kun je ook lezen:


Meer van iX magazine

Meer van iX magazine


Meer van iX magazine

Meer van iX magazine



(ur)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: