Warnung: Microsoft-signierte Malware ermöglicht gezielte Manipulation des Datenverkehr

Janine Moorees, 22. Juni 2021
Netzwerk-Rootkit ermöglicht gezielte Manipulation des Datenverkehr
Artikelbild: GData

Viele von uns wissen, dass Schadsoftware Schaden anrichtet. Jetzt haben die Experten von G Data ein Netzwerk-Rootkit entdeckt, das es ermöglicht, den Datenverkehr gezielt zu manipulieren.

Dieses Netzwerk-Rootkit leitet Netzwerkanfragen an einen Server mit einer chinesischen IP-Adresse um. Damit ist es möglich, den Datenverkehr gezielt zu manipulieren. Ein Rootkit ermöglicht es einem Angreifer unter anderem, schädliche Aktivitäten effektiv vor dem Nutzer zu verstecken. Besonders brisant: Die Schadsoftware gibt sich als Netzwerktreiber aus und ist Mitte Mai 2021 von Microsoft mit einem gültigen Zertifikat signiert worden. Ein weiterer Treiber mit zahlreichen Parallelen zur vorliegenden Datei wurde bereits im März signiert.

Ursprünglich ging das Analyse-Team von G DATA CyberDefense von einer Falscherkennung aus. Eine genaue Untersuchung ergab jedoch, dass die Erkennung für diese Datei tatsächlich korrekt ist. Microsoft signiert Treiber grundsätzlich nur dann, wenn diese frei von Schadcode sind.

„Wir waren erst unsicher, ob die Datei wirklich schädlich ist und glaubten an eine falschpositive Erkennung. Stutzig wurden wir deshalb, weil Netzwerktreiber eigentlich nicht ihren eigenen Code verschleiern. Das ist eine Taktik, die häufig bei Malware verwendet wird, um die Erkennung durch Sicherheitslösungen zu erschweren“, sagt Karsten Hahn, Malware Analyst bei G DATA CyberDefense.

Somit steht der Verdacht im Raum, dass entweder eine Schadsoftware beim Freigabeprozess von Microsoft nicht aufgefallen ist – oder dass das entsprechende Zertifikat von Dritten erbeutet wurde, um dieses gezielt zu missbrauchen, um beispielsweise Malware zu verbreiten. Von Microsoft signierte Treiber werden im Normalfall immer als „vertrauenswürdig“ eingestuft und haben innerhalb des Betriebssystems zum Teil weitreichende Berechtigungen. Windows 10 lässt nur die Installation von Kernel-Treibern zu, die von Microsoft signiert sind. Das zuständige Team bei Microsoft ist über die Entdeckung bereits informiert. Erstmals ist die fragliche Datei mit der Erkennung „Win64.Rootkit.Netfilter.N“ in der vergangenen Woche aufgefallen. G DATA-Kunden sind vor dem Rootkit geschützt.

[mk_ad]

Quelle: Pressetext.com
Auch interessant:
QR-Codes können für verschiedene Dinge verwendet werden, wie z.B. Tickets für ein Konzert oder einen Impftermin.

Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel