Security Week 26: руткит с легитимной цифровой подписью

Все блоги / Про интернет 28 июня 2021 367

На прошлой неделе коллектив исследователей по безопасности изучал руткит, известный как Netfilter. Впервые обнаруженный специалистом компании G Data, вредоносный код имеет традиционную функциональность: обращается к расположенному в Китае серверу, передает информацию о компьютере, загружает обновления для себя. Отличие от многих других подобных программ заключается в том, что Netfilter снабжен легитимной цифровой подписью Microsoft.

Компания Microsoft выпустила бюллетень, посвященный атаке, в котором поделилась дополнительной информацией. Руткит является частью атаки на геймеров, и скорее всего эта кампания ориентирована на пользователей в Китае. Создатели Netfilter были нацелены на взлом учетных записей других пользователей и, похоже, выстроили эту достаточно сложную схему для получения преимущества в игровом окружении. Вендор прокомментировал и подпись драйвера. Речи о взломе инфраструктуры Microsoft не идет, руткит прошел стандартную процедуру выдачи сертификата, а при проверке вредоносных функций не обнаружили.
Читать дальше →

Источник: Хабрахабр

Оцените публикацию

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья

следующая статья

Похожие публикации

Security Week 19: Moriya, свежий руткит для Windows Server

На прошлой неделе эксперты «Лаборатории Касперского» опубликовали исследование таргетированной вредоносной кампании Tunnelsnake. Она, скорее всего, имеет китайское происхождение, но связать ее с другими известными атаками пока не удалось. Аналитики проследили вредоносную активность вплоть до 2018

подробнее »

11 мая 2021

Security Week 52: управление атакой SunBurst через DNS-запросы

Атака SunBurst (в некоторых источниках также известная как Solorigate) — широко обсуждаемая новость недели. В воскресенье 13 декабря специалисты компании FireEye опубликовали предварительный отчет об атаке, назвав ее глобальной операцией по внедрению в крупные частные и государственные организации.

подробнее »

21 декабря 2020

Все драйверы режима ядра для Windows 10 (1607) теперь должны быть подписаны Microsoft

Драйвера, подписанные Microsoft, можно устанавливать и без разрешения владельца ноутбука, достаточно сертификата Microsoft (Источник: xkcd.com) В прошлом году корпорация Microsoft объявила о том, что с выходом Windows 10 все новые драйвера режима ядра будет необходимо подтверждать в Windows

подробнее »

1 августа 2016

Блог им. ruzhovt / [Ссылка] На грядущем Defcon покажут rootkit для Android

На хакерской конференции Defcon, которая пройдет в следующем месяце в Лас-Вегасе, будет продемонстрован руткит для платформы Android, активируемый телефонным звонком или SMS. Разработчик рассказал о том, что он столкнулся с большими трудностями при написании руткита но в конце концов удалось

подробнее »

4 июня 2010

[Из песочницы] Создание и тестирование Firewall в Linux, Часть 1.2. Простой перехват трафика с Netfilter

Содержание первой части: 1.1 — Создание виртуальной лаборатории (чтобы нам было где работать, я покажу как создать виртуальную сеть на вашем компьютере. Сеть будет состоять из 3х машин Linux ubuntu). 1.2 – Написание простого модуля в Linux. Введение в Netfilter и перехват трафика с его помощью.

подробнее »

15 ноября 2016

Правоохранительные органы обрушили ботнет Ramnit

Правоохранительные органы вместе с security-компаниями провели операцию по захвату и выведению из строя инфраструктуры крупного ботнета вредоносного ПО Ramnit, который включает в себя более трех миллионов ботов (зараженных компьютеров). В операции участвовала организация Europol, а также CERT

подробнее »

26 февраля 2015