Meldung

Rootkit mit Microsoft-Zertifikat

Bitdefender hat mit FiveSys ein neues Rootkit entdeckt, das eine eigene, von Microsoft ausgegebene und gültige digitale Signatur verwendet, anstatt gestohlene Signaturen zu missbrauchen. Indem die Hacker eine neu ausgestellte Microsoft-Signatur verwenden, verfolgen sie einen völlig neuen Weg. Denn bisher verwendeten sie von anderen Unternehmen gestohlene Signaturen, um ihre Malware als legitim und glaubwürdig zu erklären.
Angreifer setzen seit Kurzem auf digitale Zertifikate von Microsoft.
In den letzten Monaten haben Bitdefender-Experten verstärkt beobachtet [1], wie bösartige Treiber mit gültigen digitalen Signalen, die im Rahmen des Microsoft WHQL-Signaturprozesses ausgegeben wurden, sich stärker verbreiten. Die seit einem Jahr beobachteten Aktivitäten haben ihren Ursprung in China. Sie beschränken sich zurzeit auf das Land und auf am dortigen Markt erhältliche Spiele und verfolgen wirtschaftliche Ziele.

Die Malware-Analysten gehen davon aus, dass verschiedene Urheber hinter diesen Angriffen stehen. Dafür spricht, dass die verwendeten Tools dieselben Funktionalitäten teilen, aber unterschiedlich implementiert sind. Die Hauptaufgabe des Rootkit ist es, Internet-Verkehr auf einen eigens eingerichteten Proxy-Server umzuleiten. Dafür verwendet der Treiber lokal ein Skript zur Proxy-Autokonfiguration für den Browser.

Digitale Signaturen für Malware
Die Experten gehen davon aus, dass Angreifer in Zukunft verstärkt digitale Microsoft-Signaturen zum Tarnen ihrer Malware verwenden werden. Ein Hauptgrund für diese neue Taktik dürften die neuen Vorgaben von Microsoft zum Signieren von Treibern sein: Diese verlangen eine digitale Signatur von Microsoft für alle Treiber, ehe das Betriebssystem diese akzeptiert.

Das stellt sicher, dass die Treibersoftware vom Verkäufer des Betriebssystems validiert und signiert wird. Dadurch bieten digitale Signaturen aber keinerlei Hinweise mehr auf die tatsächlichen Entwickler. Eine zusätzliche Gefahr, die sich daraus ergibt: Die Microsoft-Signaturen für vermeintliche Treiber dürften viele Anwender täuschen, so dass sie die Installation einer Malware mit fälschlicherweise gutem Leumund akzeptieren.

Die Aktivitäten von FiveSys oder von Netfilter, dem als erstes entdeckten Rootkit mit einer gültigen digitale WHQL-Signatur, zeigen, dass Hacker einen Weg gefunden haben, die Microsoft-Vorgaben für das Erstellen eines Zertifikates zu umgehen. Von Einzelfällen ist nicht auszugehen. Vielmehr wird weitere Schadsoftware in Zukunft eigens ausgestellte digitale Signaturen verwenden.

Digitale Signaturen, die eigentlich die Legitimität einer Software dokumentieren und Vertrauen schaffen sollen, helfen in diesem Fall also Angreifern, die Restriktionen für das Laden von Modulen von Drittanbietern in den Kernel des Betriebssystems zu umgehen. Nach der erfolgreichen Installation eines Rootkit können die bösartigen Entwickler praktisch uneingeschränkte Privilegien nutzen.

Bitdefender hat Microsoft über den Missbrauch informiert, worauf das Software-Unternehmen diese Signatur nach kurzer Zeit zurückrief.

Rootkit-Risiken
Vor mehr als einem Jahrzehnt waren Rootkits die Speerspitze der Cyberkriminalität. Diese geheimen Programme wurden entwickelt, um Angreifern einen ständigen Platz auf den Opferrechnern zu verschaffen und deren Aktivitäten vor dem Betriebssystem sowie vor Antimalware-Lösungen zu verbergen. Die Schadsoftware im Kernel des Betriebssystems verbreitet sich offenbar wieder, nachdem sie zuletzt durch die Sicherheitsmechanismen von Windows Vista zurückgedrängt worden war.
21.10.2021/dr

Tipps & Tools

Markt für Access-as-a-Service-Cyberkriminalität floriert [7.12.2021]

Eine neu erschienene Studie hat sich auf die undurchsichtige Lieferkette der Cyberkriminalität fokussiert, die für die derzeitige Zunahme von Ransomware-Angriffen maßgeblich ist: Initial-Access-Broker, die gerade auch in Deutschland stark vertreten sind. Sie beschaffen den Zugang zur Unternehmens-IT und lassen sich das auch versilbern. [mehr]

TPM-Reglementierungen in Windows 11 [18.11.2021]

Das neue Windows 11 erklärt das Trusted Platform Module 2.0 zur Pflicht – ob aus guten Gründen, untersuchen wir in unserem Online-Artikel. In diesem Zusammenhang erläutern wir unter anderem auch, wie Administratoren herausfinden, ob ihre Systeme und Geräte über den notwendigen TPM-Chip verfügen. Außerdem schildern wir, welche Optionen es für TPM in virtuellen Maschinen gibt. [mehr]

Fachartikel

TPM-Reglementierungen in Windows 11 [17.11.2021]

Seit Anfang Oktober verteilt Microsoft die neue Version Windows 11. Durch den Umstieg auf die jüngste Ausgabe des Betriebssystems rückt das Thema Trusted Platform Module in den Fokus von IT-Verantwortlichen. Wir erklären, was TPM für die Sicherheit des PCs bedeutet und wie Administratoren herausfinden, ob ihre Systeme und Geräte über den notwendigen TPM-Chip verfügen. Außerdem schildern wir, welche Optionen es für TPM in virtuellen Maschinen gibt. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen