带有微软官方有效数字签名的Rootkit恶意程序在野被发现

一个新发现的 rootkit 恶意程序居然带有微软官方的有效数字签名，该恶意程序主要针对中国在线游戏玩家，在近1年多来持续将流量代理到攻击者指定的IP地址上。

安全研究人员将该恶意软件命名为 FiveSys ，称其可能存在凭据盗窃和游戏内购买劫持的行为。微软在该恶意程序披露后撤销了其使用的签名。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，有效的数字签名可以帮助攻击者绕过操作系统对将第三方模块加载到内核中的限制。一旦加载，rootkit 将使攻击者可以获得几乎无限的特权。

Rootkit 既隐蔽又隐蔽，因为它们为威胁行为者提供了在受害者系统上根深蒂固的立足点，并向操作系统 (OS) 和反恶意软件解决方案隐藏了他们的恶意行为，使攻击者即使在操作系统重新安装后也能保持长期持久性或者更换硬盘。

在 FiveSys 的案例中，恶意软件的主要目标是通过自定义代理服务器将 HTTP 和 HTTPS 连接的互联网流量重定向和路由到攻击者控制下的恶意域。Rootkit 运营商还采用了一种做法，即使用被盗证书的签名阻止列表来阻止从竞争组加载驱动程序，以防止他们控制机器。

研究人员指出，为了使潜在的删除尝试更加困难，rootkit 在 .xyz 顶级域上附带了一个包含 300 个域的内置列表。它们似乎是随机生成的，并以加密形式存储在二进制文件中。

FiveSys的曝光标志着微软通过 Windows 硬件质量实验室 ( WHQL ) 签名过程发布的具有有效数字签名的恶意驱动程序第二次泄露。2021 年 6 月下旬，德国网络安全公司披露了另一个名为 Netfilter 的rootkit 的详细信息，它与 FiveSys 一样，也针对中国的游戏玩家。