Hacker tricksen Microsoft aus, um Netfilter-Treiber zu signieren, die mit Rootkit-Malware geladen sind

  • Microsoft erklärte am Freitag, dass es einen Vorfall untersucht, bei dem sich ein vom Unternehmen signierter Treiber als bösartiges Windows-Rootkit entpuppte, das bei der Kommunikation mit Command-and-Control-Servern (C2) in China beobachtet wurde.

    Der Treiber mit dem Namen “Netfilter” soll auf Spieleumgebungen abzielen, insbesondere in dem ostasiatischen Land, wobei das Redmonder Unternehmen feststellt, dass “das Ziel des Akteurs darin besteht, den Treiber zu verwenden, um seinen Geostandort zu täuschen, um das System zu betrügen und von überall aus zu spielen.”

    “Die Malware ermöglicht es ihnen, sich einen Vorteil in Spielen zu verschaffen und möglicherweise andere Spieler auszunutzen, indem sie deren Konten durch gängige Tools wie Keylogger kompromittieren”, so das Microsoft Security Response Center (MSRC).

    Das Rogue Code Signing wurde von Karsten Hahn, einem Malware-Analysten bei der deutschen Cybersecurity-Firma G Data, entdeckt, der weitere Details des Rootkits mitteilte, einschließlich eines Droppers, der zur Bereitstellung und Installation von Netfilter auf dem System verwendet wird.

    [Blocked Image: https://thehackernews.com/images/-MzVIl8vwiIA/YNl5_AgDVYI/AAAAAAAADA8/eNnykyD4CVgwAejZT8cwY-kvJoAQA6scQCLcBGAsYHQ/s728-e1000/hack.jpg]

    Nach erfolgreicher Installation baut der Treiber Verbindungen zu einem C2-Server auf, um Konfigurationsinformationen abzurufen. Dieser bietet eine Reihe von Funktionalitäten wie IP-Umleitung, unter anderem zum Erhalt eines Root-Zertifikats und sogar zur Selbstaktualisierung der Malware.

    [Blocked Image: https://thehackernews.com/images/-LdauFq345bQ/YNl4djihd9I/AAAAAAAADAw/2f8kfHIC_ns_DHZTDtH8WQZsewzHAAoGQCLcBGAsYHQ/s728-e1000/ms-cert.jpg]

    Das älteste auf VirusTotal entdeckte Beispiel von Netfilter datiert auf den 17. März 2021, so Hahn.

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    Microsoft stellte fest, dass der Akteur den Treiber zur Zertifizierung über das Windows Hardware Compatibility Program (WHCP) einreichte und dass die Treiber von einem Drittanbieter erstellt wurden. Das Unternehmen hat das Konto inzwischen gesperrt und seine Einreichungen auf weitere Anzeichen von Malware überprüft.

    Der Windows-Hersteller betonte außerdem, dass die bei dem Angriff eingesetzten Techniken nach der Ausnutzung erfolgen, was bedeutet, dass der Angreifer zuvor administrative Rechte erlangt haben muss, um den Treiber während des Systemstarts installieren zu können oder den Benutzer dazu zu bringen, dies in seinem Namen zu tun.

    Zusätzlich hat Microsoft angekündigt, die Richtlinien für den Zugriff von Partnern sowie den Validierungs- und Signierungsprozess zu verfeinern, um den Schutz weiter zu verbessern.

    “Die Sicherheitslandschaft entwickelt sich weiterhin rasant weiter, da Bedrohungsakteure neue und innovative Methoden finden, um sich über eine Vielzahl von Vektoren Zugang zu Umgebungen zu verschaffen”, so MSRC, was einmal mehr verdeutlicht, wie legitime Prozesse von Bedrohungsakteuren ausgenutzt werden können, um groß angelegte Angriffe auf die Software-Lieferkette zu ermöglichen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com