{"id":255164,"date":"2021-06-25T18:17:36","date_gmt":"2021-06-25T16:17:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255164"},"modified":"2023-06-09T21:27:36","modified_gmt":"2023-06-09T19:27:36","slug":"nice-microsoft-signierte-network-filtertreiber-der-als-rootkit-aus-china-fungiert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/25\/nice-microsoft-signierte-network-filtertreiber-der-als-rootkit-aus-china-fungiert\/","title":{"rendered":"Nice: Microsoft signierte Network-Filtertreiber, der als Rootkit aus China fungiert"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/06\/25\/nice-microsoft-signierte-network-filtertreiber-der-als-rootkit-aus-china-fungiert\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher sind auf einen von Microsoft digital signierten WFP Application Layer Enforcement Callout Driver gesto\u00dfen, der sich quasi als Network-Filter-Rootkit herausstellte. Der Treiber baute selbstt\u00e4tig Verbindungen zu einer IP-Adresse auf, die von einem Server in China verwendet wird. Hier einige Informationen zu diesem seltsamen Fall. <strong>Erg\u00e4nzung:<\/strong> Stellungnahme von Microsoft nachgetragen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/336a8a1703ac4fda99584c360fa306b8\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin \u00fcber nachfolgenden <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1405805536403243009\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> von Kevin Beaumont auf den Fall aufmerksam geworden, der bei GData in<a href=\"https:\/\/www.gdatasoftware.com\/blog\/microsoft-signed-a-malicious-netfilter-rootkit\" target=\"_blank\" rel=\"noopener\"> diesem Blog-Beitrag<\/a> dokumentiert wird.<\/p>\n<p><a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1405805536403243009\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Network-Filter-Rootkit\" src=\"https:\/\/i.imgur.com\/A7Yg6OW.png\" alt=\"Network-Filter-Rootkit\" \/><\/a><\/p>\n<p>Schaut man sich die Details von Virustotal an, ist es ein Netzwerk-Filter, der eine g\u00fcltig Signatur tr\u00e4gt und von Microsoft signiert wurde, aber ein Rootkit darstellt, was nach China telefoniert.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Rootkit-Signatur\" src=\"https:\/\/i.imgur.com\/vwsjtNg.png\" alt=\"Rootkit-Signatur\" width=\"495\" height=\"658\" \/><\/p>\n<p>Auf Twitter hat Beaumont weitere Details zum Treiber gepostet. Das Interessantere ist aber der <a href=\"https:\/\/www.gdatasoftware.com\/blog\/microsoft-signed-a-malicious-netfilter-rootkit\" target=\"_blank\" rel=\"noopener\">GData Blog-Beitrag hier<\/a>. Mitte Juni 2021 schlug das GDATA-Alarmsystem an und informierte deren Analysen \u00fcber einen m\u00f6glichen Fehlalarm. Entdeckt wurde ein Treiber, der von Microsoft signiert war. Seit Windows Vista muss jeder Code, der im Kernel-Modus l\u00e4uft, vor der \u00f6ffentlichen Freigabe getestet und signiert werden, um die Stabilit\u00e4t des Betriebssystems zu gew\u00e4hrleisten. Treiber ohne ein Microsoft-Zertifikat k\u00f6nnen standardm\u00e4\u00dfig nicht installiert werden.<\/p>\n<h2>Es war kein falscher Alarm<\/h2>\n<p>In diesem Fall war die Erkennung des digital signierten Treibers als Malware ein positiver Treffer. Der signierte Treiber wurde von einem Dropper unter folgendem Pfad abgelegt.<\/p>\n<p>%APPDATA%\\netfilter.sys<\/p>\n<p>Dann wurde noch eine Datei:<\/p>\n<p>%TEMP%\\c.xalm<\/p>\n<p>erzeugt, die dann einen Befehl ausf\u00fchrte, um den Treiber in der Registrierung einzutragen und registrieren. GData beschreibt dann, dass der Netfilter-Treiber auf den Server des Rookits zugreift, um um aktualisierte Bin\u00e4rdateien sowie Konfigurationsinformationen abzurufen. Laut WHOIS geh\u00f6rt er zu Ningbo Zhuo Zhi Innovation Network Technology Co., Ltd. Diese Firma wurde vom US-Verteidigungsministerium als kommunistisches chinesisches Milit\u00e4runternehmen gelistet.<\/p>\n<p>Die schmutzigen Details sind\u00a0 dem GDATA-Blog-Beitrag zu entnehmen. Jedenfalls ist es den Chinesen gelungen, Microsoft den Treiber signieren zu lassen. Nachdem GData diese Erkenntnisse an Microsoft weitergeleitet hatte, wurden von Redmond umgehend Malware-Signaturen zum Windows Defender hinzugef\u00fcgt. Gleichzeitig startete nun eine interne Untersuchung, um zu kl\u00e4ren, wie diese digitale Signierung passieren konnte. Bisher ist aber noch kein Ergebnis bekannt.<\/p>\n<h2>Microsoft best\u00e4tigt<\/h2>\n<p>Erg\u00e4nzung: Microsoft hat das Ganze wohl in <a href=\"https:\/\/web.archive.org\/web\/20230206154254\/https:\/\/msrc-blog.microsoft.com\/2021\/06\/25\/investigating-and-mitigating-malicious-drivers\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> best\u00e4tigt, wie ich <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-admits-to-signing-rootkit-malware-in-supply-chain-fiasco\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> gelesen habe. Es gibt keine Beweise, dass das WHCP-Signaturzertifikat offengelegt wurde. Die Infrastruktur wurde nicht kompromittiert. Im Einklang mit den Microsoft Zero Trust- und mehrschichtigen Sicherheitsstrategie wurden dieser Treiber und die zugeh\u00f6rigen Dateien in Microsoft Defender for Endpoint erkannt und blockiert. Diese Erkennungen werden auch mit anderen AV-Sicherheitsanbietern geteilt, damit diese proaktiv Erkennungen bereitstellen k\u00f6nnen.<\/p>\n<p>Die Aktivit\u00e4ten des T\u00e4ters beschr\u00e4nken sich auf den Spielesektor speziell in China und scheinen nicht auf Unternehmensumgebungen abzuzielen. Zum jetzigen Zeitpunkt gehen die Microsoft Sicherheitsforscher nicht davon aus, dass es sich um einen nationalen Akteur handelt. Das Ziel des Akteurs ist es, den Treiber zu nutzen, um seinen Standort zu t\u00e4uschen und das System zu betr\u00fcgen, um von \u00fcberall aus spielen zu k\u00f6nnen. Die Malware erm\u00f6glicht es den Angreifern, sich einen Vorteil in Spielen zu verschaffen und m\u00f6glicherweise andere Spieler auszunutzen, indem sie deren Konten durch g\u00e4ngige Tools wie Keylogger kompromittieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher sind auf einen von Microsoft digital signierten WFP Application Layer Enforcement Callout Driver gesto\u00dfen, der sich quasi als Network-Filter-Rootkit herausstellte. Der Treiber baute selbstt\u00e4tig Verbindungen zu einer IP-Adresse auf, die von einem Server in China verwendet wird. Hier einige &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/06\/25\/nice-microsoft-signierte-network-filtertreiber-der-als-rootkit-aus-china-fungiert\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-255164","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255164","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255164"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255164\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255164"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255164"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255164"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}