Microsoft signeert rootkit-driver die verkeer naar Chinees ip-adres stuurt

[Captain Kirk]

Microsoft heeft een malafide driver die als rootkit fungeert en verkeer naar een Chinees ip-adres stuurt van een digitale handtekening voorzien. Hoe het kan dat de rootkit-driver door Microsoft werd gesigneerd wordt door het techbedrijf onderzocht, meldt antivirusbedrijf G Data dat de malware ontdekte.

Sinds Windows Vista kunnen standaard alleen digitaal gesigneerde drivers worden geïnstalleerd. Vorige week werd G Data gewaarschuwd door een eigen systeem voor een mogelijke false positive, omdat een door Microsoft gesigneerde driver als malware was gedetecteerd. Het komt vaker voor dat antivirussoftware legitieme software als malware bestempelt.

In dit geval ging het om een true positive. De malware in kwestie was door Microsoft gesigneerd. Eenmaal actief blijkt de rootkit-driver verkeer naar een Chinees ip-adres door te sturen dat volgens het Amerikaanse ministerie van Defensie een Chinees defensiebedrijf is. De malware blijkt ook in staat om zichzelf te updaten.

G Data waarschuwde Microsoft waarna het techbedrijf signatures uitrolde voor de virusdatabase van Windows Defender. Volgens malware-analist Karsten Hahn is het nog altijd onduidelijk hoe de malafide driver kon worden gesigneerd. In deze analyse geeft G Data meer details over de rootkit.

 

bron: https://www.security.nl

[Captain Kirk]

Microsoft is een onderzoek gestart naar het signeren van een rootkit-driver die bij aanvallen tegen gebruikers in China is ingezet, zo laat het techbedrijf weten. Vrijdag meldde antivirusbedrijf G Data dat het een door Microsoft gesigneerde rootkit-driver had ontdekt die verkeer van besmette systemen naar een Chinees ip-adres doorstuurde.

In een blogpost erkent Microsoft het signeren van de rootkit-driver. Sinds Windows Vista kunnen op Windows standaard alleen digitaal gesigneerde drivers worden geïnstalleerd. De aanvaller wilde volgens Microsoft meerdere drivers via het Windows Hardware Compatibility Program laten certificeren. Deze drivers waren van een derde partij afkomstig, maar om wie het precies gaat laat Microsoft niet weten.

Het betreffende account dat de drivers instuurde is geschorst. Tevens wordt er onderzocht of andere ingezonden drivers van malware zijn voorzien. Volgens Microsoft is het certificaat dat binnen het Windows Hardware Compatibility Program wordt gebruikt voor het signeren van drivers niet gecompromitteerd.

De aanvaller achter de rootkit-driver heeft het volgens Microsoft specifiek voorzien op de "gamingsector" in China en zou geen bedrijven als doelwit hebben. Ook lijkt de betreffende aanval niet het werk van een statelijke actor, laat het techbedrijf verder weten. De aanvaller zou via de driver hun geolocatie kunnen spoofen om zo overal vandaan te kunnen spelen. Ook zou de rootkit helpen om een voordeel in games te krijgen en mogelijk de accounts van andere gamers over te nemen, bijvoorbeeld door het gebruik van keyloggers.

Microsoft laat tevens weten dat een aanvaller beheerderstoegang moet hebben om de rootkit-driver te kunnen installeren of de gebruiker zover moet krijgen om dit voor hem te doen. Informatie over de aanval wordt met andere antivirusbedrijven gedeeld, zodat die hun gebruikers kunnen beschermen. Hoeveel malafide drivers er zijn gesigneerd laat Microsoft niet weten, maar het bedrijf heeft hashes van meer dan tachtig malafide bestanden gedeeld.