Anzeige
Anzeige
Beitrag drucken

G Data entdeckt als Treiber getarnte Schadesoftware

Manipulation durch Microsoft-signierte Malware

Eine als Netzwerktreiber getarnte Schadesoftware ermöglicht Hackern die Manipulation des Datenverkehrs. Dabei trägt die Schadsoftware ein gültiges Microsoft-Zertifikat.

Bild: ©deepagopi2011/stock.adobe.com

Bild: ©deepagopi2011/stock.adobe.com

Der Security-Experte G Data hat ein Netzwerk-Rootkit entdeckt, das Netzwerkanfragen auf einen Server mit einer chinesischen IP-Adresse umleitet. Damit ist es möglich, den Datenverkehr gezielt zu manipulieren. Ein Rootkit ermöglicht es Angreifern unter anderem, schädliche Aktivitäten vor dem Nutzer zu verstecken. Die Schadsoftware gibt sich dabei als Netzwerktreiber aus und ist Mitte Mai 2021 von Microsoft mit einem gültigen Zertifikat signiert worden. Ein weiterer Treiber mit zahlreichen Parallelen zur vorliegenden Datei wurde bereits im März signiert.

Keine falschpostive Erkennung

Ursprünglich ging das G Data-Analyse-Team von einer Falscherkennung aus. Eine genauere Untersuchung ergab jedoch, dass die Erkennung für diese Datei tatsächlich korrekt ist. Microsoft signiert Treiber grundsätzlich nur dann, wenn diese frei von Schadcode sind. „Wir waren erst unsicher, ob die Datei wirklich schädlich ist und glaubten an eine falschpositive Erkennung. Stutzig wurden wir deshalb, weil Netzwerktreiber eigentlich nicht ihren eigenen Code verschleiern. Das ist eine Taktik, die in der Regel nur bei Malware verwendet wird, um die Erkennung durch Sicherheitslösungen zu erschweren“, sagt Karsten Hahn, Malware Analyst bei G Data.

Laut G Data steht somit der Verdacht im Raum, dass entweder eine Schadsoftware beim Freigabeprozess von Microsoft nicht aufgefallen ist oder dass das entsprechende Zertifikat von Dritten erbeutet wurde, um dieses gezielt zu missbrauchen – beispielsweise Malware zu verbreiten. Von Microsoft signierte Treiber werden im Normalfall immer als ’vertrauenswürdig’ eingestuft und haben innerhalb des Betriebssystems zum Teil weitreichende Berechtigungen. Windows 10 lässt nur die Installation von Kernel-Treibern zu, die von Microsoft signiert sind. Das zuständige Team bei Microsoft wurde über die Entdeckung informiert. Erstmals ist die fragliche Datei mit der Erkennung ‚Win64.Rootkit.Netfilter.N‘ in der vergangenen Woche aufgefallen.


Das könnte Sie auch interessieren:

Siemens hat die AI-Anomaly-Assistant-Industrie-App ins Portfolio genommen. Damit können Anwender per künstlicher Intelligenz Anomalien in der Prozessindustrie erkennen und diese auf ihre Geschäftsrelevanz bewerten.‣ weiterlesen

Bereits im April 2016 herausgegeben und 2021 erneut bestätigt: Die Richtlinie VDI/VDE 3516 Blatt 4 'Validierung im GxP-Umfeld – Automatisiertes Testen' stellt die Zielsetzungen und möglichen Vorteile automatisierter Tests im pharmazeutischen Umfeld dar.‣ weiterlesen

PerfectPattern hat die kostenlose Basisversion von Insights App vorgestellt. Mit der Software können Prozessingenieure, Produktionsexperten und Datenwissenschaftler die von PerfectPattern entwickelte KI-Technologie Aivis nutzen, um Einblicke in Produktionsprozesse zu erhalten.‣ weiterlesen

Die Buss-Unternehmensgruppe ist in vielen unterschiedlichen Geschäftsfeldern tätig. Eine Herausforderung, stand doch ein Wechsel des ERP-Systems ins Haus - mit mehr als 80 Unternehmen innerhalb der Gruppe. Gemeinsam mit dem IT-Dienstleister Sven Mahn IT gelang es, das Projekt innerhalb von 14 Wochen umzusetzen.‣ weiterlesen

Werden neue Technologien wie beispielsweise künstliche Intelligenz Teil des Arbeistalltages wünscht sich ein Großteil der unter 31-Jährigen, darüber informiert zu werden. Dies geht aus einer Studie des IT-Security-Anbieters Kaspersky hervor. Auch ein menschliches Antlitz könnte laut Studie für mehr Akzeptanz sorgen.‣ weiterlesen

Schlechtere Stimmung als noch im Juni. Geschäftsklima-Index des Ifo Instituts hat in der aktuellen Erhebung im Vergleich zum Vormonat nachgegeben.‣ weiterlesen

Die Sprints zu Covid19-Impfstoffen zeigen den Leistungsdruck, unter dem die Technologieentwicklung steht. In kürzester Zeit sollen Forscher und Ingenieure Lösungen für die kritischen Probleme unserer Zeit finden. Der Accelerated-Discovery-Ansatz soll helfen, Forschungs- und Entwicklungsprozesse mit KI, Hybrid Cloud und schließlich Quantencomputern um das zehn- bis hundertfache des heute Möglichen zu beschleunigen.‣ weiterlesen

Trebing + Himstedt hat die Partnerschaft mit Celonis bekanntgegeben. Die Unternehmen wollen zukünftig beim Thema Process Mining zusammenarbeiten.‣ weiterlesen

Im Rahmen einer Partnerschaft wollen Crate.io und Zühlke zukünftig gemeinsam an Smart Factory- und Industrie 4.0-Lösungen arbeiten.‣ weiterlesen

Die Dualis GmbH IT Solution hat für Lean-Manufacturing-Aufgabenstellungen ein Add-on zur 3D-Simulationsplattform Visual Components entwickelt. Basierend auf Process Modelling können damit automatisch branchengängige Standardized Work Sheets generiert werden.‣ weiterlesen

Um verschiedene Daten aufzubereiten und den Mitarbeitern nutzenbringend bereitzustellen, ist nicht immer ein großes IT-Projekt nötig. Wer schnell Daten für die Beschäftigten visualisieren möchte, sollte sich einmal näher mit Dashboards befassen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige