Microsoft の署名入りルートキット、また見つかる 27
ストーリー by headless
署名 部門より
署名 部門より
Microsoft の WHQL で署名されたルートキット (ドライバー) 「FiveSys」が見つかり、発見者の Bitdefender が報告している (Bitdefenderのブログ記事、 ホワイトペーパー、 Neowin の記事)。
FiveSys は中国のゲームプレイヤーをターゲットにしており、1 年以上前から活動しているとみられる。ルートキットの動作としてはプロキシを使用してインターネットトラフィックをリダイレクトし、認証情報の窃取やゲーム内購入のハイジャックを狙うというものだ。
6 月にも同様のルートキット「Netfilter」が見つかっているが、Bitdefender によればこのようなルートキットは増加しているという。その理由として、x64 ベースの Windows ではカーネルモードのドライバーに Microsoft の署名が必須な点が挙げられる。FiveSys や Netfilter の作者は Microsoft のチェックを迂回して署名を取得したとみられ、署名はユーザーに正規のソフトウェアだと信じさせる効果もあるとのことだ。
FiveSys は中国のゲームプレイヤーをターゲットにしており、1 年以上前から活動しているとみられる。ルートキットの動作としてはプロキシを使用してインターネットトラフィックをリダイレクトし、認証情報の窃取やゲーム内購入のハイジャックを狙うというものだ。
6 月にも同様のルートキット「Netfilter」が見つかっているが、Bitdefender によればこのようなルートキットは増加しているという。その理由として、x64 ベースの Windows ではカーネルモードのドライバーに Microsoft の署名が必須な点が挙げられる。FiveSys や Netfilter の作者は Microsoft のチェックを迂回して署名を取得したとみられ、署名はユーザーに正規のソフトウェアだと信じさせる効果もあるとのことだ。
UEFIルートキットを作るしか無いな (スコア:0)
OSより下で動くUEFIルートキットを作って、OSからも検出できなくするしか無い
Re: (スコア:0)
既にあるんじゃなかったかな?
ネトゲのチート対策すり抜けるためだったか。。
Re:UEFIルートキットを作るしか無いな (スコア:1)
こんな事例が
https://blog.trendmicro.co.jp/archives/11972 [trendmicro.co.jp]
今どき通用するのか? (スコア:0)
APIにプロキシ挟むならまだしも、経路途中で通信盗んだところでSSLかかってるから認証情報もってけないでしょ。
Re: (スコア:0)
中国はSSL使用に申請許可がいるらしい(許可されたところで検閲リスクは消えない)ので、その辺りを狙ったのかもしれませんね
Re: (スコア:0)
root取ってるなら自前のルート証明書を入れさせてしまえば良い。
後はプロキシ側で偽の証明書を動的に生成するだけ。
Re: (スコア:0)
デバイスドライバはカーネルと同格で動くので、SSLの暗号鍵を一緒に盗み出すことも不可能ではない
だからこそデバイスドライバに書名必須としたのに、審査がザルでは単に面倒くさくなっただけでしかない。
Re: (スコア:0)
>暗号鍵を一緒に盗み出す
わざわざそんなめんどくさいことしなくても、非対称暗号鍵方式のSSLならroot証明書を入れてしまえば済む話。
通用するんじゃね? (スコア:0)
自前の串にオレオレ証明書を使ってるらしいから、暗号化前の平文が読めるんじゃね?
redirection works for both HTTP and HTTPS; the rootkit installs a custom root certificate for HTTPS redirection to work.
Re: (スコア:0)
話理解できないなら、無理してコメント書かなくていいのに。
Re: (スコア:0)
> the rootkit installs a custom root certificate for HTTPS redirection to work.
分かる人にとってはばればれな方法だけどSSL回避できる
64bitは署名必須 (スコア:0)
つまり、あと4年で世界は少し安全になるんだね
Re: (スコア:0)
あと20年はXPで頑張るぞ!
Re: (スコア:0)
個人で(無償~低ランニングコストで)署名を得るのは難しくなったけど、組織犯罪上等のフェーズに移行しつつあるということでもある
Re: (スコア:0)
>組織犯罪上等のフェーズ
企業だったり国だったり。。
対抗するには攻撃力(物理)持たないともうダメなんですかねえ。
Re: (スコア:0)
そうなると64bitで証明書必須にした意味崩壊するから、証明書ナシでも使えるようにして欲しい…
Re: (スコア:0)
今回のような情報抜き取りだとドライバーインストールできるぐらいの権限あるならドライバー使わなくてもできるし、そもそも脆弱性利用して署名のチェックをスキップする手法が確立されてるから意味ないんだけどね。署名必須化なんて単なる嫌がらせ
Re: (スコア:0)
> FiveSys や Netfilter の作者は Microsoft のチェックを迂回して署名を取得したとみられ
これとどうつながるんだろう
ほんとまあしょうがねぇなぁ (スコア:0)
事務手続きが通れば発行されちまうんだから仕方ねぇった感じだ
増えるワカメ (スコア:0)
一つ潰すと二つ不具合が増える。
Re: (スコア:0)
お前の食ってるワカメ、ウキクサか何か?
Re: (スコア:0)
ホテイアオイかもしれない。
Re: (スコア:0)
いいえ、Windowsのバグです。
Re: (スコア:0)
増えるワカメじゃねえのか?
Re: (スコア:0)
いいえ、Windowsのバグです。
ケフィア並みに唐突だな。
Re: (スコア:0)
> ケフィア並みに唐突だな。
四六時中Microsoftのことを考えてる人なら、自然なことですよ。
Re: (スコア:0)
エアーチャーム好きそう