Die Security-Experten von G DATA haben ein Rootkit entdeckt, das DNS-Anfragen auf einen Server mit einer chinesischen IP-Adresse umleitet. Damit ist es m\u00f6glich, den Datenverkehr gezielt zu manipulieren. Ein Rootkit erm\u00f6glicht es einem Angreifer unter anderem, sch\u00e4dliche Aktivit\u00e4ten effektiv vor dem Nutzer zu verstecken. Besonders brisant: Die Schadsoftware gibt sich als LAN-Treiber aus und ist Mitte Mai 2021 von Microsoft mit einem g\u00fcltigen Zertifikat signiert worden. Ein weiterer Treiber mit zahlreichen Parallelen zur vorliegenden Datei wurde bereits im M\u00e4rz signiert.<\/p>\n
Urspr\u00fcnglich ging das Analyse-Team von G DATA CyberDefense von einer Falscherkennung aus. Eine genaue Untersuchung ergab jedoch, dass die Erkennung f\u00fcr diese Datei tats\u00e4chlich korrekt ist. Microsoft signiert Treiber grunds\u00e4tzlich nur dann, wenn diese frei von Schadcode sind. „Wir waren erst unsicher, ob die Datei wirklich sch\u00e4dlich ist und glaubten an eine falschpositive Erkennung. Stutzig wurden wir deshalb, weil Netzwerktreiber eigentlich nicht ihren eigenen Code verschleiern. Das ist eine Taktik, die h\u00e4ufig bei Malware verwendet wird, um die Erkennung durch Sicherheitsl\u00f6sungen zu erschweren“, sagt Karsten Hahn, Malware Analyst bei G DATA CyberDefense.<\/p>\n
Somit steht der Verdacht im Raum, dass entweder eine Schadsoftware beim Freigabeprozess von Microsoft nicht aufgefallen ist – oder dass das entsprechende Zertifikat von Dritten erbeutet wurde, um dieses gezielt zu missbrauchen, um beispielsweise Malware zu verbreiten. Von Microsoft signierte Treiber werden im Normalfall immer als \u201evertrauensw\u00fcrdig\u201c eingestuft und haben innerhalb des Betriebssystems zum Teil weitreichende Berechtigungen. Windows 10 l\u00e4sst nur die Installation von Kernel-Treibern zu, die von Microsoft signiert sind. Das zust\u00e4ndige Team bei Microsoft ist \u00fcber die Entdeckung bereits informiert. Erstmals ist die fragliche Datei mit der Erkennung „Win64.Rootkit.Netfilter.N“ in der vergangenen Woche aufgefallen. G DATA Kunden sind vor dem Rootkit gesch\u00fctzt.<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Security-Experten von G DATA haben ein Rootkit entdeckt, das DNS-Anfragen auf einen Server mit einer chinesischen IP-Adresse umleitet. Damit ist es m\u00f6glich, den Datenverkehr gezielt zu manipulieren. Ein Rootkit erm\u00f6glicht es einem Angreifer unter anderem, sch\u00e4dliche Aktivit\u00e4ten effektiv vor dem Nutzer zu verstecken. Besonders brisant: Die Schadsoftware gibt sich als LAN-Treiber aus und ist […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"class_list":["post-116","post","type-post","status-publish","format-standard","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/116","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=116"}],"version-history":[{"count":0,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/116\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=116"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=116"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=116"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}