Die von Microsoft signierte Rootkit-Malware, die alle verschlüsselten Kommunikationen entschlüsseln kann

Microsoft hatte einem Rootkit sein digitales Imprimatur erteilt, das alle verschlüsselte Kommunikation und schickte sie an die vom Angreifer kontrollierten Server. Dieser bösartige Treiber wurde in Gaming-Umgebungen verbreitet. Dieser Treiber ist als „Netfilter“ bekannt und sein Hauptzweck bzw. seine kritische Rolle besteht darin, als Rootkit mit den chinesischen Command-and-Control-IPs (C2) zu kommunizieren. 

Bewertung

Karsten Hahn, Forscher bei der Sicherheitsfirma G Data, entdeckte diesen Treiber mithilfe des Malware-Erkennungssystems seines Unternehmens. Die erste Beobachtung wurde als Fehlalarm deklariert, da Microsoft Netfilter im Rahmen des Windows-Hardware-Kompatibilitätsprogramms digital signiert hatte. Nach weiteren Tests und Untersuchungen kam Karsten zu dem Schluss, dass es sich weder um eine Fehlwarnung noch um einen positiven Befund handelte. Er und seine Kollegen entdeckten: „Die Kernfunktion scheint das Abhören von SSL-Verbindungen zu sein. Zusätzlich zur IP-Umleitungskomponente installiert und schützt es auch eine Stammzertifikat im Register“ [1] (von Reverse Engineer Johann Aydinbas auf Twitter)

Was ist ein Rootkit?

Ein Rootkit ist eine Art Schadsoftware, die so programmiert ist, dass sie in Dateiverzeichnissen, anderen Standardfunktionen des Betriebssystems und der Aufgabenüberwachung nicht sichtbar ist. Ein Root-Zertifikat dient üblicherweise zur Authentifizierung des Datenverkehrs über Verbindungen, die durch das TLS-Protokoll (Transport Layer Security) geschützt sind. Dadurch werden die Daten während der Übertragung verschlüsselt und der Server kann feststellen, ob ein Benutzer legitim oder ein Betrüger ist.

Typischerweise diese TLS-Zertifikate werden von einer von Windows vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt, und durch die Installation dieser Stammzertifikate in Windows können Hacker die CA-Anforderung umgehen.

Meine Geschichte

Der Treiber Netfiler kommunizierte mit chinesischen C&C-IPs und bot keine legitimen Funktionen, was den Verdacht noch verstärkte. Etwa zu dieser Zeit teilte der Malware-Analyst von G Data, Karsten Hahn, die Signaturinformationen öffentlich auf Twitter und kontaktierte Microsoft.

Laut Hahn muss jeder Code, der im Kernelmodus ausgeführt wird, vor der Veröffentlichung getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten. Zu diesem Zeitpunkt begann BleepingComputer auch, das Verhalten von C2-URLs zu beobachten und kontaktierte Microsoft, um einen triftigen Grund oder eine Erklärung zu erhalten.

 Die ersten paar C2-URLs liefern eine Reihe weiterer Routen, die durch das Pipe-Symbol („|“) getrennt sind:

Jedes davon dient einem Zweck:

• Die URL, die mit „/p“ endet, bedeutet, dass sie mit Proxy-Einstellungen verknüpft ist.
• „/s“ bezeichnet verschlüsselte Umleitungs-IP-Adressen.
• „/h?“ steht für die Darstellung der CPU-ID.
• „/c“ gab ein Stammzertifikat
• „/v?“ bezeichnet die Selbstaktualisierungsfunktion der Malware.

Laut BleepingComputer lieferte der Pfad „/v?“ die URL zum betreffenden bösartigen Netfilter-Treiber selbst (unter „/d3“):

Der G Data-Forscher Hahn analysierte den Treiber eingehend und kam zu dem Schluss, dass dieser über eine Selbstaktualisierungsfunktion verfügt. Laut Hahn besitzt das Testbeispiel eine Selbstaktualisierungsroutine, die ihren MD5-Hash über „hxxp://110.42.4.180:2081/v?v=6&m=“.

Der Server antwortet dann mit der URL für das neueste Beispiel mit "OK" Wenn das Modell auf dem neuesten Stand ist, ersetzt die Malware ihre Datei entsprechend. 

Sicherheitslücke

Microsoft untersucht einen Angreifer, der schädliche Treiber (Netfilter) in Spieleumgebungen verbreitet hat. Dieser Angreifer reichte Treiber zur Zertifizierung über das Windows-Hardwarekompatibilitätsprogramm (WHCP) ein. Da diese Treiber von einem Drittanbieter entwickelt wurden, hat Microsoft dessen Konto gesperrt und die eingereichten Dokumente auf weitere Anzeichen von Schadsoftware überprüft. Microsoft konnte keine Hinweise darauf finden, dass das Signaturzertifikat oder die WHCP-Signaturinfrastruktur kompromittiert wurde. Daher wurden Netfilter-Erkennungen in die in Windows integrierte Windows Defender-Antiviren-Engine integriert und diese Erkennung anderen Antiviren-Anbietern zur Verfügung gestellt. 

Update bezüglich der Malware [2]

• 26. Juni, 12:26 Uhr ET: Es wurde klargestellt, dass BleepingComputer die DoD-Liste, in der das mutmaßliche chinesische Unternehmen explizit erwähnt wird, nicht gesehen hat, was im Gegensatz zu den Angaben im Bericht des Forschers steht. Außerdem wurde Hahn um eine Klarstellung gebeten.
• 27. Juni, 04:58 Uhr ET: Eine frühere Version des Blogbeitrags erwähnt ein anderer Forscher, @cowonautEs wurde behauptet, das oben genannte Unternehmen sei zuvor vom US-Verteidigungsministerium als „kommunistisches chinesisches Militärunternehmen“ eingestuft worden. Diese Behauptung wurde inzwischen aus dem ursprünglichen Blogbeitrag zurückgezogen, und wir haben unseren Artikel entsprechend aktualisiert. BleepingComputer konnte Ningbo Zhuo Zhi Innovation Network Technology Co., Ltd. jedoch auf keiner der verfügbaren Listen des Verteidigungsministeriums finden.

Fazit

Trotz der Einschränkungen war diese Sicherheitslücke gravierend. Microsofts Zertifizierungsprogramm war genau darauf ausgelegt, Angriffe wie die von G Data entdeckten zu blockieren. Microsoft hat bisher nicht erklärt, wie es zur digitalen Signatur der Schadsoftware kam; auch Unternehmensvertreter lehnten eine Stellungnahme ab.

Literaturhinweis

• Microsoft signiert bösartigen Rootkit-Treiber digital

• Microsoft gibt zu, Rootkit-Malware im Rahmen des Lieferketten-Fiaskos signiert zu haben