Hackerangriffe: Neues Windows-Rootkit versteckt sich gekonnt

Das melden die Sicherheitsspezialisten von Fortinet (via Bleeping Computer). Fortinet hat aufgedeckt, dass die berüchtigte chinesische Hackergruppe Deep Panda es jetzt mithilfe eines Log4Shell-Exploits auf VMware Horizon-Server abzielt. Solche nicht-gepatchten Server werden aufgespürt, um dort dann ein neuartiges Rootkit namens "Fire Chili" einzusetzen. Infografik Cyberkriminalität: E-Mails bleiben größtes Sicherheitsrisiko Dieses Rootkit ist mit einem Zertifikat von Frostburn Studios, einem Spieleentwickler, oder einem Zertifikat der Sicherheitssoftware Comodo digital signiert, um die Erkennung durch AV-Tools zu umgehen. Laut Fortinet hat Deep Panda die Zertifikate von den genannten Softwareentwicklern direkt gestohlen oder sie von Datendieben übernommen.

Das Fire-Chili-Rootkit umgeht die Erkennung auf kompromittierten Systemen durch die legitimen Zertifikate, das ist aber noch lange nicht alles, was die Malware gegen ihre Entdeckung macht.

Noch mehr fiese Versteck-Tricks

Für diese Verschleierung verwendet die Malware dann gefälschte Input/Output Control System Calls, kurz IOCTLs. Um beispielsweise seine eigenen bösartigen TCP-Verbindungen vor netstat zu verbergen, fängt das Rootkit routinemäßige IOCTL-Aufrufe ab, ruft die vollständige Liste aller Netzwerkverbindungen auf, filtert seine eigenen heraus und gibt schließlich eine bereinigte Struktur zurück. So ist das Rootkit auch in Betrieb nahezu unsichtbar.

Einmal auf dem System ihrer Opfer angelangt, prüft Fire Chili zunächst, ob es nicht auf einer simulierten Umgebung läuft. Das Ziel des Rootkits ist es, Dateioperationen, Prozesse, Ergänzungen von Registrierungsschlüsseln und bösartige Netzwerkverbindungen vor dem Benutzer und jeglicher Sicherheitssoftware zu verbergen, die auf dem kompromittierten Computer ausgeführt werden könnte.

Siehe auch: