Microsoft vẫn đang ký kỹ thuật số phần mềm độc hại

Đôi khi, khi đột nhập vào một cơ sở an toàn, việc đi vào bằng cửa trước dễ dàng hơn là đi qua tường. Tin tặc ngày càng nhận thấy điều này là đúng khi đưa phần mềm độc hại vào Windows.

Đầu năm nay, một phần mềm độc hại có tên là “bộ lọc mạng”Đã được ký bởi các phòng thí nghiệm phần cứng của Microsoft, cho phép nó vượt qua các hệ thống phòng thủ được tích hợp sẵn của Windows. Bộ rootkit Netfilter là một trình điều khiển hạt nhân độc hại đang được phân phối với các trò chơi Trung Quốc và giao tiếp với các máy chủ Lệnh và Điều khiển của Trung Quốc.

Có vẻ như công ty đã đánh bại bảo mật của Microsoft chỉ bằng cách làm theo các quy trình thông thường và gửi trình điều khiển như bất kỳ công ty bình thường nào.

Các nhà nghiên cứu bảo mật của Bitdefender hiện đã xác định được bộ rootkit mới do Microsoft ký, có tên là FiveSys, cũng đã được ký điện tử bởi Phòng thí nghiệm chất lượng phần cứng Windows (WHQL) của Microsoft và đang được phân phối cho người dùng Windows một cách hoang dã, đặc biệt là ở Trung Quốc.

Mục đích của bộ rootkit FiveSys là chuyển hướng lưu lượng truy cập internet trong các máy bị nhiễm độc thông qua proxy tùy chỉnh, được rút ra từ danh sách 300 tên miền tích hợp sẵn. Việc chuyển hướng hoạt động cho cả HTTP và HTTPS; rootkit cài đặt chứng chỉ gốc tùy chỉnh để chuyển hướng HTTPS hoạt động. Bằng cách này, trình duyệt không cảnh báo về danh tính không xác định của máy chủ proxy.

Rootkit cũng sử dụng các chiến lược khác nhau để bảo vệ chính nó, chẳng hạn như chặn khả năng chỉnh sửa sổ đăng ký và ngừng cài đặt các rootkit và phần mềm độc hại khác từ các nhóm khác nhau.

Bitdefender đã liên hệ với Microsoft, người đã thu hồi chữ ký ngay sau đó, nhưng ai biết có bao nhiêu con ngựa trojan khác đang tồn tại.

thông qua Neowin