Tin An Ninh Mạng

FiveSys Rootkit lạm dụng Chữ ký số do Microsoft phát hành

Theo các nhà nghiên cứu bảo mật của Bitdefender, một rootkit có tên FiveSys có thể tránh bị phát hiện và lọt vào hệ thống của người dùng Windows nhờ chữ ký số do Microsoft cấp.
Để chặn một số loại tấn công, Microsoft đã đưa ra các yêu cầu nghiêm ngặt đối với các trình điều khiển nhận chữ ký số WHQL (Windows Hardware Quality Labs) và bắt đầu từ Windows 10 bản build 1607, việc tải các kernel-mode driver không có chứng nhận bị ngăn cản hoàn toàn.

{

}

Rooket.png

Vào tháng 6, Microsoft thừa nhận hacker đã gửi thành công rootkit Netfilter để được chứng nhận qua Chương trình Windows Hardware Compatibility.
Hiện, các nhà nghiên cứu của Bitdefender cảnh báo rootkit FiveSys cũng có chữ ký số do Microsoft cấp. Đây có thể là một xu hướng mới, khi các đối thủ cạnh tranh muốn các driver độc hại của mình được Microsoft ký và xác thực.
FiveSys tương tự như phần mềm độc hại Undead cách đây vài năm. Hơn nữa, giống như Netfilter, rootkit này nhắm mục tiêu vào lĩnh vực game ở Trung Quốc.
Bitdefender cho biết đã xác định một số mã nhị phân chế độ người dùng được sử dụng để tìm nạp và thực thi các trình điều khiển độc hại trên máy mục tiêu. FiveSys dường như đang sử dụng tổng cộng bốn trình điều khiển, nhưng các nhà nghiên cứu chỉ mới cô lập hai trong số đó.

Nguồn: SecurityWeek

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !