Microsoft še vedno digitalno podpisuje zlonamerno programsko opremo

Včasih je pri vdoru v varovan objekt lažje vstopiti skozi vhodna vrata kot čez steno. Hekerji vse bolj ugotavljajo, da je to res, ko gre za prenos zlonamerne programske opreme v Windows.

V začetku tega leta zlonamerna programska oprema, imenovana »netfilter” so podpisali Microsoftovi laboratoriji za strojno opremo, kar mu je omogočilo, da zaobide vgrajeno obrambo sistema Windows. Netfilter rootkit je bil zlonamerni gonilnik jedra, ki se je distribuiral s kitajskimi igrami in ki komunicira s kitajskimi strežniki za upravljanje in nadzor.

Zdi se, da je podjetje premagalo Microsoftovo varnost preprosto tako, da je sledilo običajnim postopkom in predložilo gonilnik, kot bi vsako normalno podjetje.

Bitdefender varnostni raziskovalci so zdaj identificirali nov rootkit, podpisan z Microsoftom, imenovan FiveSys, ki ga je tudi digitalno podpisal Microsoftov laboratorij za kakovost strojne opreme Windows (WHQL) in se distribuira uporabnikom sistema Windows v naravi, zlasti na Kitajskem.

Namen rootkita FiveSys je preusmeriti internetni promet v okuženih računalnikih prek proxyja po meri, ki je črpana iz vgrajenega seznama 300 domen. Preusmeritev deluje tako za HTTP kot HTTPS; rootkit namesti korensko potrdilo po meri za delovanje preusmeritve HTTPS. Na ta način brskalnik ne opozori na neznano identiteto proxy strežnika.

Rootkit uporablja tudi različne strategije za zaščito, kot je blokiranje možnosti urejanja registra in ustavitev namestitve drugih rootkitov in zlonamerne programske opreme iz različnih skupin.

Bitdefender je stopil v stik z Microsoftom, ki je kmalu zatem preklical podpis, a kdo ve, koliko drugih trojanskih konjev je v naravi.

preko Neowin