Sie sind wieder da! In einem Forschungsbericht dokumentiert das Sicherheitsunternehmen Bitdefender das verstärkte Wiederauftauchen von Rootkits in den vergangenen Monaten. Diese extrem bösartigen Schadprogramme dienen dazu, Cyberkriminellen einen dauerhaften Zugang zu fremden Systemen zu verschaffen. Dazu nisten sie sich im Kernel des Betriebssystems ein und verbergen sich und ihre Aktivitäten vor dem Betriebssystem und Malware-Scannern. Mit Einführung der Schutzmaßnahmen von Windows Vista, nach denen Code, der im Kernel-Modus läuft, vor Freigabe getestet und signiert werden muss eine, war der Spuk zunächst vorbei.
Mit dem nun entdeckten FiveSys ist zum zweiten Mal in wenigen Monaten verstärkt ein Rootkit aufgetaucht, das über eine gültige, von Microsoft über den
Der Ursprung der beobachteten Aktivitäten lässt sich auf China zurückführen. Die Sicherheitsforscher vermuten verschiedene Urheber hinter den Rootkits, denn die Implementierungen unterscheiden sich deutlich. Die Funktionen sind allerdings gleich: Die Rootkits sollen den Internetverkehr auf einen speziellen Proxy-Server umleiten. Dazu verwendet der Treiber lokal ein Skript zur Proxy-Autokonfiguration für den Browser. Um den Zugriff der Konkurrenz auf das kompromittierte System zu beschränken, blockiert das Rootkit das Laden von Treibern anderer Malware-Gruppen mit Hilfe einer schwarzen Liste mit digitalen Signaturen. Derzeit zielen die Machenschaften auf die Gaming-Branche, insbesondere auf den Diebstahl von Anmeldeinformationen und das Übernehmen von In-Game-Käufen (In Game Purchase Hijacking).
Die Forscher sehen hier den Beginn einer Entwicklung: Da die Kriminellen anscheinend einen Weg gefunden haben, Microsofts Sicherheitsvorgaben zu umgehen, ist zukünftig mit weiteren Fällen zu rechnen, in denen Schadsoftware mit eigens ausgestellten digitalen Signaturen ihr Unwesen treibt. Weitere technische Details sowie die Anzeichen für einen Befall (Indicators of Compromise) finden sich im
Quelle: heise
Mit dem nun entdeckten FiveSys ist zum zweiten Mal in wenigen Monaten verstärkt ein Rootkit aufgetaucht, das über eine gültige, von Microsoft über den
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
ausgestellte digitale Signatur verfügt. Mit einer solchen gelingt es Angreifern, die Betriebssystembeschränkungen zu umgehen und eigene Module in den Kernel zu laden.Bekannte Umgehung, neue Masche
Auffallend ist, dass die Kriminellen anders vorgehen als früher: Während sie in der Vergangenheit von Unternehmen gestohlene digitale Zertifikate verwendeten, um ihre Treiber zu signieren, ist es ihnen bei FiveSys und vor wenigen Monaten schon beim Netfilter-Rootkit gelungen, die Treiber in den Zertifizierungsprozess von Microsoft einzuschleusen und signieren zu lassen. Nachdem Bitdefender Microsoft über den Missbrauch informierte, rief das Unternehmen die Signatur zurück.Der Ursprung der beobachteten Aktivitäten lässt sich auf China zurückführen. Die Sicherheitsforscher vermuten verschiedene Urheber hinter den Rootkits, denn die Implementierungen unterscheiden sich deutlich. Die Funktionen sind allerdings gleich: Die Rootkits sollen den Internetverkehr auf einen speziellen Proxy-Server umleiten. Dazu verwendet der Treiber lokal ein Skript zur Proxy-Autokonfiguration für den Browser. Um den Zugriff der Konkurrenz auf das kompromittierte System zu beschränken, blockiert das Rootkit das Laden von Treibern anderer Malware-Gruppen mit Hilfe einer schwarzen Liste mit digitalen Signaturen. Derzeit zielen die Machenschaften auf die Gaming-Branche, insbesondere auf den Diebstahl von Anmeldeinformationen und das Übernehmen von In-Game-Käufen (In Game Purchase Hijacking).
Die Forscher sehen hier den Beginn einer Entwicklung: Da die Kriminellen anscheinend einen Weg gefunden haben, Microsofts Sicherheitsvorgaben zu umgehen, ist zukünftig mit weiteren Fällen zu rechnen, in denen Schadsoftware mit eigens ausgestellten digitalen Signaturen ihr Unwesen treibt. Weitere technische Details sowie die Anzeichen für einen Befall (Indicators of Compromise) finden sich im
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Quelle: heise
