FiveSys Rootkit lạm dụng Chữ ký số do Microsoft phát hành

04/06/2014
37
446 bài viết
FiveSys Rootkit lạm dụng Chữ ký số do Microsoft phát hành
Theo các nhà nghiên cứu bảo mật của Bitdefender, một rootkit có tên FiveSys có thể tránh bị phát hiện và lọt vào hệ thống của người dùng Windows nhờ chữ ký số do Microsoft cấp.
Để chặn một số loại tấn công, Microsoft đã đưa ra các yêu cầu nghiêm ngặt đối với các trình điều khiển nhận chữ ký số WHQL (Windows Hardware Quality Labs) và bắt đầu từ Windows 10 bản build 1607, việc tải các kernel-mode driver không có chứng nhận bị ngăn cản hoàn toàn.
Rooket.png
Vào tháng 6, Microsoft thừa nhận hacker đã gửi thành công rootkit Netfilter để được chứng nhận qua Chương trình Windows Hardware Compatibility.
Hiện, các nhà nghiên cứu của Bitdefender cảnh báo rootkit FiveSys cũng có chữ ký số do Microsoft cấp. Đây có thể là một xu hướng mới, khi các đối thủ cạnh tranh muốn các driver độc hại của mình được Microsoft ký và xác thực.
FiveSys tương tự như phần mềm độc hại Undead cách đây vài năm. Hơn nữa, giống như Netfilter, rootkit này nhắm mục tiêu vào lĩnh vực game ở Trung Quốc.
Bitdefender cho biết đã xác định một số mã nhị phân chế độ người dùng được sử dụng để tìm nạp và thực thi các trình điều khiển độc hại trên máy mục tiêu. FiveSys dường như đang sử dụng tổng cộng bốn trình điều khiển, nhưng các nhà nghiên cứu chỉ mới cô lập hai trong số đó.

Nguồn: SecurityWeek
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên