Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Die Rückkehr der Rootkits – signiert von Microsoft

Forscher haben in den vergangenen Monaten verstärkt die vermeintlich ausgestorbenen Kernelschadprogramme wiederentdeckt. Eingeschleust werden sie heute anders.

In Pocket speichern vorlesen Druckansicht 115 Kommentare lesen
Cyber,Hacker,Attack,Background,,Skull,Vector

(Bild: Skorzewiak/Shutterstock.com)

Update
Lesezeit: 3 Min.
iX Magazin
Von
  • Ute Roos

Sie sind wieder da! In einem Forschungsbericht dokumentiert das Sicherheitsunternehmen Bitdefender das verstärkte Wiederauftauchen von Rootkits in den vergangenen Monaten. Diese extrem bösartigen Schadprogramme dienen dazu, Cyberkriminellen einen dauerhaften Zugang zu fremden Systemen zu verschaffen. Dazu nisten sie sich im Kernel des Betriebssystems ein und verbergen sich und ihre Aktivitäten vor dem Betriebssystem und Malware-Scannern. Mit Einführung der Schutzmaßnahmen von Windows Vista, nach denen Code, der im Kernel-Modus läuft, vor Freigabe getestet und signiert werden muss eine, war der Spuk zunächst vorbei.

Mit dem nun entdeckten FiveSys ist zum zweiten Mal in wenigen Monaten verstärkt ein Rootkit aufgetaucht, das über eine gültige, von Microsoft über den WHQL-Zertifizierungsprozess ausgestellte digitale Signatur verfügt. Mit einer solchen gelingt es Angreifern, die Betriebssystembeschränkungen zu umgehen und eigene Module in den Kernel zu laden.

Bekannte Umgehung, neue Masche

Auffallend ist, dass die Kriminellen anders vorgehen als früher: Während sie in der Vergangenheit von Unternehmen gestohlene digitale Zertifikate verwendeten, um ihre Treiber zu signieren, ist es ihnen bei FiveSys und vor wenigen Monaten schon beim Netfilter-Rootkit gelungen, die Treiber in den Zertifizierungsprozess von Microsoft einzuschleusen und signieren zu lassen. Nachdem Bitdefender Microsoft über den Missbrauch informierte, rief das Unternehmen die Signatur zurück.

Der Ursprung der beobachteten Aktivitäten lässt sich auf China zurückführen. Die Sicherheitsforscher vermuten verschiedene Urheber hinter den Rootkits, denn die Implementierungen unterscheiden sich deutlich. Die Funktionen sind allerdings gleich: Die Rootkits sollen den Internetverkehr auf einen speziellen Proxy-Server umleiten. Dazu verwendet der Treiber lokal ein Skript zur Proxy-Autokonfiguration für den Browser. Um den Zugriff der Konkurrenz auf das kompromittierte System zu beschränken, blockiert das Rootkit das Laden von Treibern anderer Malware-Gruppen mit Hilfe einer schwarzen Liste mit digitalen Signaturen. Derzeit zielen die Machenschaften auf die Gaming-Branche, insbesondere auf den Diebstahl von Anmeldeinformationen und das Übernehmen von In-Game-Käufen (In Game Purchase Hijacking).

Die Forscher sehen hier den Beginn einer Entwicklung: Da die Kriminellen anscheinend einen Weg gefunden haben, Microsofts Sicherheitsvorgaben zu umgehen, ist zukünftig mit weiteren Fällen zu rechnen, in denen Schadsoftware mit eigens ausgestellten digitalen Signaturen ihr Unwesen treibt. Weitere technische Details sowie die Anzeichen für einen Befall (Indicators of Compromise) finden sich im Fivesys-Whitepaper.

Lesen Sie dazu auch:

(ur)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten