安全厂商近日发现一只恶意rootkit成功获得微软签章,目的在窃取受害者登录凭证及不法谋利。
最近安全厂商Bitdefender发现的FiveSys rootkit,是继今年7月的Netfilter后,又一只获得微软WHQL(Windows Hardware Quality Labs)数字签名的恶意驱动程序。WHQL签章要求确保所有驱动程序是获得OS厂商验证及签章,但这类签章无法保证出于真正App开发商之手。这显示恶意程序作者想利用微软签章制度,让用户误以为它是合法驱动程序而安装。
FiveSys这只rootkit传播途径不明,如何获得微软WHQL签章也不得而知。但微软在接获安全厂商的通知后已经否决了它的签章,意味着该恶意程序无法再任意下载到用户计算机。
研究人员分析FiveSys的结构,它包括多个用户模式binaries以便在受害设备下载恶意组件。目前识别出最主要的组件功能,是将用户流量引导到特定恶意代理服务器;研究人员认为FiveSys目的是在用户连向线上游戏时,将用户流量导向代理服务器时,借此拦截、窃取用户帐密等验证资料,以及劫持游戏用户的金钱支付。在HTTPS连线上FiveSys会安装根凭证,让用户浏览器不会发出恶意代理服务器的警告。
FiveSys另一功能是阻止受害设备下载其他黑客组织撰写的驱动程序,以独占受害者机器。研究人员发现FiveSys和稍早发现的Netfilter似乎存在竞争关系。
Bitdefender相信FiveSys已经锁定游戏用户超过一年。不过这只rootkit目前也仅在中国传播,研究人员判断可能和背后组织独钟于该市场有关。
研究人员说,从技术层面来看,FiveSys并不算是最高明的,但是它滥用微软数字签名这点,显示这类保护机制的可信度已经被严重破坏。