Microsoft allekirjoittaa edelleen haittaohjelmia digitaalisesti

Joskus turvalliseen tilaan murtautuessa on helpompi mennä sisään etuovesta kuin mennä seinän yli. Hakkerit ovat yhä useammin havainneet tämän olevan totta, kun on kyse haittaohjelmien saamisesta Windowsiin.

Aiemmin tänä vuonna haittaohjelma nimeltä "Verkkosuodatin” allekirjoittivat Microsoftin laitteistolaboratoriot, mikä antoi sille mahdollisuuden ohittaa Windowsin sisäänrakennetut suojaukset. Netfilter rootkit oli haitallinen ydinohjain, jota jaettiin kiinalaisten pelien kanssa ja joka kommunikoi kiinalaisten komento- ja ohjauspalvelimien kanssa.

Vaikuttaa siltä, ​​että yritys voitti Microsoftin tietoturvan yksinkertaisesti noudattamalla normaaleja menettelytapoja ja lähettämällä ohjaimen kuten mikä tahansa tavallinen yritys tekisi.

Bitdefender-tietoturvatutkijat ovat nyt tunnistaneet uuden Microsoftin allekirjoittaman rootkit-nimisen FiveSysin, jonka myös Microsoftin Windows Hardware Quality Labs (WHQL) on allekirjoittanut digitaalisesti ja jota jaetaan Windows-käyttäjille luonnossa, erityisesti Kiinassa.

FiveSys-rootkitin tarkoitus on ohjata Internet-liikenne tartunnan saaneissa koneissa mukautetun välityspalvelimen kautta, joka on peräisin sisäänrakennetusta 300 verkkotunnuksen luettelosta. Uudelleenohjaus toimii sekä HTTP:lle että HTTPS:lle; rootkit asentaa mukautetun juurivarmenteen, jotta HTTPS-uudelleenohjaus toimii. Tällä tavalla selain ei varoita välityspalvelimen tuntemattomasta henkilöllisyydestä.

Rootkit käyttää myös erilaisia ​​strategioita suojatakseen itseään, kuten estää rekisterin muokkaamisen ja muiden rootkit-ohjelmien ja eri ryhmien haittaohjelmien asennuksen.

Bitdefender otti yhteyttä Microsoftiin, joka peruutti allekirjoituksen pian sen jälkeen, mutta kuka tietää kuinka monta muuta troijalaista on luonnossa.

kautta neowin