圖片來源: 

Bitdefender

安全廠商近日發現一隻惡意rootkit成功獲得微軟簽章,目的在竊取受害者登入憑證及不法謀利。

最近安全廠商Bitdefender發現的FiveSys rootkit,是繼今年7月的Netfilter後,又一隻獲得微軟WHQL(Windows Hardware Quality Labs)數位簽章的惡意驅動程式。WHQL簽章要求確保所有驅動程式是獲得OS廠商驗證及簽章,但這類簽章無法保證出於真正App開發商之手。這顯示惡意程式作者想利用微軟簽章制度,讓使用者誤以為它是合法驅動程式而安裝。

FiveSys這隻rootkit散佈途徑不明,如何獲得微軟WHQL簽章也不得而知。但微軟在接獲安全廠商的通知後已經否決了它的簽章,意謂著該惡意程式無法再任意下載到用戶電腦。

研究人員分析FiveSys的結構,它包括多個使用者模式binaries以便在受害裝置下載惡意元件。目前辨識出最主要的元件功能,是將使用者流量導引到特定惡意代理伺服器;研究人員認為FiveSys目的是在用戶連向線上遊戲時,將用戶流量導向代理伺服器時,藉此攔截、竊取用戶帳密等驗證資料,以及劫持遊戲用戶的金錢支付。在HTTPS連線上FiveSys會安裝根憑證,讓用戶瀏覽器不會發出惡意代理伺服器的警告。

FiveSys另一功能是阻止受害裝置下載其他駭客組織撰寫的驅動程式,以獨佔受害者機器。研究人員發現FiveSys和稍早發現的Netfilter似乎存在競爭關係。

Bitdefender相信FiveSys已經鎖定遊戲用戶超過一年。不過這隻rootkit目前也僅在中國散佈,研究人員判斷可能和背後組織獨鍾於該市場有關。

研究人員說,從技術層面來看,FiveSys並不算是最高明的,但是它濫用微軟數位簽章這點,顯示這類保護機制的可信度已經被嚴重破壞。

熱門新聞

Advertisement