Güvenlik araştırmacıları, saldırganlar tarafından aktif olarak kullanılan ve Microsoft tarafından imzalanmış FiveSys isimli bir rootkit tespit etti.
Romanya merkezli siber güvenlik şirketi BitDefender araştırmacıları tarafından Çinli internet kullanıcıları ve oyuncuları hedef alan, onları özel proxy sunucularla kötü amaçlı sitelere yönlendiren Microsoft imzalı bir rootkit buldu.
FiveSys olarak adlandırılan bu rootkitin ilginç yanı Microsoft tarafından imzalanmış olmasıydı. Araştırmacıların yayınlamış olduğu kısa raporda dijital imzaların yazılımlara güven sağlamanın kolay yolu olduğu ve bu sayede rootkitin başarıyla çekirdeğe yüklenmek için imza kısıtlamalarını başarıyla aşabildiğinin altı çizildi. Çekirdek sürücü sisteme yüklendikten sonra zararlıyı geliştirenler sistemde sınırsız ayrıcalıklarla hareket edebiliyor.
Rootkitler genellikle tehdit aktörleri tarafından sistemde yüksek haklarla hareket etmek ve işletim sisteminin kendisi ile güvenlik yazılımlarından kaçınmak amacıyla kullanılır. Asıl amaç uzun süreli kalıcılık sağlamaktır.
FiveSys bu kalıcılığı etkilediği sistemleri HTTP ve HTTPS bağlantılar için özel bir proxy sunucusu kullanarak kötü amaçlı adreslere yönlendirmek için kullanıyor. Ayrıca saldırganlara bağlı olarak sistemin kendisi de proxy olarak kullanılabilir, bütün bunların hepsi ihtimal dahilinde.
Bu Microsoft tarafından sunulan WHQL (Windows Hardware Quality Labs) süreci kötüye kullanılarak imzalanan ikinci rootkit örneği. Daha önce haberini yaptığımız Netfilter da bu şekilde imzalanmış ve hedeflediği sistemlerde sürücü imza korumasını aşmıştı. Microsoft dijital imzalama sürecinde gerekli kontrolleri yeterince yapmadığı sürece bu tarz daha çok zararlı görecek gibiyiz.
