Microsoft hat kürzlich einen faszinierenden Cybersicherheitsunfall dokumentiert, an dem ein Bedrohungsakteur beteiligt war, der bösartige Treiber in Spielumgebungen verteilte.
Der Netfilter-Treiber: eine Bedrohung für die Gaming-Community
Offensichtlich, der Bedrohungsakteur hat einen bestimmten Treiber namens Netfilter eingereicht, von einem Dritten gebaut, für Zertifizierungen über die Windows Hardware Compatibility Programs. Das besagte Konto ist nun entfernt, und alle seine Einsendungen wurden auf Anzeichen von Malware überprüft, Microsoft sagte,.
verbunden: Die Facefish-Operation: Linux im Visier von neuer Backdoor und Rootkit
„Die Tätigkeit des Akteurs beschränkt sich auf den Gaming-Sektor speziell in China und scheint nicht auf Unternehmensumgebungen abzuzielen," die Firma spezifizierten. Es scheint, dass das Ziel der gesamten Operation darin besteht, den Treiber zu verwenden, um Geo-Standorte zu fälschen und das System zu betrügen, um es von überall aus abzuspielen. Die Malware verschafft Bedrohungsakteuren den Vorteil, in Spielen bessere Leistungen zu erbringen, und "möglicherweise andere Spieler ausnutzen, indem sie ihre Konten durch gängige Tools wie Keylogger kompromittieren."
Bemerkenswert ist, dass der bösartige Fahrer erstmals vom Sicherheitsforscher Karsten Hahn und seiner Firma G Data entdeckt wurde.
„Letzte Woche hat uns unser Warnsystem über ein mögliches Fehlalarm informiert, weil wir einen Fahrer mit dem Namen entdeckt haben “Netzfilter” das wurde von Microsoft signiert. Seit Windows Vista, Jeder Code, der im Kernelmodus ausgeführt wird, muss vor der öffentlichen Veröffentlichung getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten. Fahrer ohne Microsoft-Zertifikat kann nicht standardmäßig installiert werden,“ schrieb Hahn in seinem Artikel über die Ergebnisse.
Da sich die Erkennung als falsch positiv herausstellte, der Forscher leitete die Ergebnisse an Microsoft weiter. Das Unternehmen reagierte, indem es Windows Defender schnell Malware-Signaturen hinzufügte. Zur Zeit, das Rootkit hat eine signifikante Erkennungsrate an Virustotal, mit 35 von 68 Sicherheits-Engines, die es erkennen. Einige Erkennungen umfassen Trojan.Agent.NtRootKit, Trojan.Agent, Trojan.NtRootKit, etc. Es ist noch nicht bekannt, wie der Treiber den Signaturprozess von Microsoft erfolgreich bestanden hat.
Eines der interessanten Dinge an Netfilter ist, dass einige seiner Strings kodiert wurden. Wie von Hanh betont, es ist seltsam, dass ein Fahrer einen Teil seiner Saiten verschleiert. Während seiner Analyse, der Forscher fand auch ähnliche Proben auf VirusTotal, mit dem ältesten aus dem März 2021.
Was die Kernfunktionalität der Malware angeht, es scheint eine IP-Umleitung zu sein. Bemerkenswert ist auch, dass das Rootkit über einen bestimmten Pfad ein Root-Zertifikat erhalten hat (hxxp://110.42.4.180:2081/c), schreib es an \RegistryMachineSOFTWAREMicrosoftSystemCertificatesROOTCertificates.
Schließlich, Die Angriffstechniken finden in einer Phase nach der Ausbeutung statt. Dies bedeutet, dass der Bedrohungsakteur über Administratorrechte auf dem System verfügen muss, um das Installationsprogramm ausführen zu können, aktualisiere die Registrierung, und installieren Sie den bösartigen Netfilter-Treiber. So, Es stellt sicher, dass es beim nächsten Systemstart geladen wird.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: