Romanya merkezli siber güvenlik şirketi BitDefender araştırmacıları tarafınca Çinli internet kullanıcıları ve oyuncuları amaç alan, onları özel proxy sunucularla berbat hedefli sitelere yönlendiren Microsoft imzalı bir rootkit buldu.
FiveSys olarak isimlendirilen bu rootkitin farklı yanı Microsoft tarafınca imzalanmış olmasıydı. Araştırmacıların yayınlamış olduğu kısa raporda dijital imzaların yazılımlara itimat sağlamanın kolay yolu olduğu ve bu sayede rootkitin muvaffakiyetle çekirdeğe yüklenmek için imza kısıtlamalarını muvaffakiyetle aşabildiğinin altı çizildi. Çekirdek şoför sisteme yüklendikten daha sonra zararlıyı geliştirenler sistemde sınırsız ayrıcalıklarla hareket edebiliyor.
Rootkitler ekseriyetle tehdit aktörleri tarafınca sistemde yüksek haklarla hareket etmek ve işletim sisteminin kendisi ile güvenlik yazılımlarından kaçınmak maksadıyla kullanılır. Asıl emel uzun vadeli kalıcılık sağlamaktır.
FiveSys bu kalıcılığı etkilediği sistemleri HTTP ve HTTPS kontaklar için özel bir proxy sunucusu kullanarak makus gayeli adreslere yönlendirmek için kullanıyor. Ayrıyeten saldırganlara bağlı olarak sistemin kendisi de proxy olarak kullanılabilir, bütün bunların hepsi ihtimal dahilinde.
Bu Microsoft tarafınca sunulan WHQL (Windows Hardware Quality Labs) süreci berbata kullanılarak imzalanan ikinci rootkit örneği. Daha evvel haberini yaptığımız Netfilter da bu türlü imzalanmış ve hedeflediği sistemlerde şoför imza müdafaasını aşmıştı. Microsoft dijital imzalama sürecinde gerekli denetimleri gereğince yapmadığı sürece bu üslup daha hayli ziyanlı bakılırsacek üzereyiz.
FiveSys olarak isimlendirilen bu rootkitin farklı yanı Microsoft tarafınca imzalanmış olmasıydı. Araştırmacıların yayınlamış olduğu kısa raporda dijital imzaların yazılımlara itimat sağlamanın kolay yolu olduğu ve bu sayede rootkitin muvaffakiyetle çekirdeğe yüklenmek için imza kısıtlamalarını muvaffakiyetle aşabildiğinin altı çizildi. Çekirdek şoför sisteme yüklendikten daha sonra zararlıyı geliştirenler sistemde sınırsız ayrıcalıklarla hareket edebiliyor.
Rootkitler ekseriyetle tehdit aktörleri tarafınca sistemde yüksek haklarla hareket etmek ve işletim sisteminin kendisi ile güvenlik yazılımlarından kaçınmak maksadıyla kullanılır. Asıl emel uzun vadeli kalıcılık sağlamaktır.
FiveSys bu kalıcılığı etkilediği sistemleri HTTP ve HTTPS kontaklar için özel bir proxy sunucusu kullanarak makus gayeli adreslere yönlendirmek için kullanıyor. Ayrıyeten saldırganlara bağlı olarak sistemin kendisi de proxy olarak kullanılabilir, bütün bunların hepsi ihtimal dahilinde.
Bu Microsoft tarafınca sunulan WHQL (Windows Hardware Quality Labs) süreci berbata kullanılarak imzalanan ikinci rootkit örneği. Daha evvel haberini yaptığımız Netfilter da bu türlü imzalanmış ve hedeflediği sistemlerde şoför imza müdafaasını aşmıştı. Microsoft dijital imzalama sürecinde gerekli denetimleri gereğince yapmadığı sürece bu üslup daha hayli ziyanlı bakılırsacek üzereyiz.