Anzeige
Anzeige
Beitrag drucken

G Data entdeckt als Treiber getarnte Schadesoftware

Manipulation durch Microsoft-signierte Malware

Eine als Netzwerktreiber getarnte Schadesoftware ermöglicht Hackern die Manipulation des Datenverkehrs. Dabei trägt die Schadsoftware ein gültiges Microsoft-Zertifikat.

Bild: ©deepagopi2011/stock.adobe.com

Bild: ©deepagopi2011/stock.adobe.com

Der Security-Experte G Data hat ein Netzwerk-Rootkit entdeckt, das Netzwerkanfragen auf einen Server mit einer chinesischen IP-Adresse umleitet. Damit ist es möglich, den Datenverkehr gezielt zu manipulieren. Ein Rootkit ermöglicht es Angreifern unter anderem, schädliche Aktivitäten vor dem Nutzer zu verstecken. Die Schadsoftware gibt sich dabei als Netzwerktreiber aus und ist Mitte Mai 2021 von Microsoft mit einem gültigen Zertifikat signiert worden. Ein weiterer Treiber mit zahlreichen Parallelen zur vorliegenden Datei wurde bereits im März signiert.

Keine falschpostive Erkennung

Ursprünglich ging das G Data-Analyse-Team von einer Falscherkennung aus. Eine genauere Untersuchung ergab jedoch, dass die Erkennung für diese Datei tatsächlich korrekt ist. Microsoft signiert Treiber grundsätzlich nur dann, wenn diese frei von Schadcode sind. „Wir waren erst unsicher, ob die Datei wirklich schädlich ist und glaubten an eine falschpositive Erkennung. Stutzig wurden wir deshalb, weil Netzwerktreiber eigentlich nicht ihren eigenen Code verschleiern. Das ist eine Taktik, die in der Regel nur bei Malware verwendet wird, um die Erkennung durch Sicherheitslösungen zu erschweren“, sagt Karsten Hahn, Malware Analyst bei G Data.

Laut G Data steht somit der Verdacht im Raum, dass entweder eine Schadsoftware beim Freigabeprozess von Microsoft nicht aufgefallen ist oder dass das entsprechende Zertifikat von Dritten erbeutet wurde, um dieses gezielt zu missbrauchen – beispielsweise Malware zu verbreiten. Von Microsoft signierte Treiber werden im Normalfall immer als ’vertrauenswürdig’ eingestuft und haben innerhalb des Betriebssystems zum Teil weitreichende Berechtigungen. Windows 10 lässt nur die Installation von Kernel-Treibern zu, die von Microsoft signiert sind. Das zuständige Team bei Microsoft wurde über die Entdeckung informiert. Erstmals ist die fragliche Datei mit der Erkennung ‚Win64.Rootkit.Netfilter.N‘ in der vergangenen Woche aufgefallen.


Das könnte Sie auch interessieren:

Mit einem Manufacturing Execution System (MES) können mittelständische Fertigungsbetriebe ihre Produktion digitalisieren und sie so auf komplexere Marktanforderungen ausrichten. Auf welche Funktionalitäten Fertiger achten sollten, zeigt der folgende Beitrag.‣ weiterlesen

Das Maschinenbauunternehmen Schenck Process hat die serverlose, modulare IoT-Plattform Coniq Cloud auf den Markt gebracht. Das System ist als IoT-Backbone für die eigenen Maschinen gedacht und bietet Anwendungsprogramme etwa zu Optimierung von Produktionszeiten und für Datenauswertungen.‣ weiterlesen

Komplexe Fertigung in Kombination mit hohem Termindruck führten beim Maschinenbauer Knoll dazu, dass lediglich 53 Prozent der Liefertermine zu halten waren. Nach der Einführung der PPS-Lösung von LF Consult liegt die Termintreue bei über 90 Prozent - bei kürzeren Durchlaufzeiten.‣ weiterlesen

Wenn sich am 30. Mai die Hallentore zum Flagschiff der Deutschen Messe öffnen, kann das als Startschuss für das postpandemische Messegeschehen gelten. Denn die Hannover Messe nimmt traditionell eine Sonderrolle unter den Industrieausstellungen ein. Grund dafür ist auch das hochkarätige Begleitprogramm, das diesmal mit 600 Vorträgen auf sechs Bühnen die Angebote der 2.500 Aussteller einrahmt.‣ weiterlesen

In diesem Jahr findet die Intralogistikmesse Logimat wieder in Präsenz statt. Und laut Veranstalter bewegen sich die Buchungen wieder auf Vor-Pandemie-Niveau. 1.500 Aussteller werden vom 31. Mai bis zum 2. Juni in Stuttgart erwartet.‣ weiterlesen

Spectralink hat DECT-Geräte mit Integration in das SIP-Gateway von Microsoft Teams auf den Markt gebracht.‣ weiterlesen

Sollen Cloud-Anwendungen als Microservices implementiert werden, unterteilen Entwickler größere Applikationen bereits bei der Erstellung in Module. Bereitgestellt werden Microservices meist über Distributed Clouds, die durch ihre vernetzten und verteilten Server hochperformant und reaktionsschnell arbeiten.‣ weiterlesen

Um gesteckte Ziele etwa in Sachen Effizienz, Nachhaltigkeit und Innovationsfähigkeit zu erreichen, vernetzen Hersteller zunehmend ihre Produktionen. Das Prinzip der Composability soll Firmen dabei helfen, in ihren modularen IT-Architekturen das Beste aus MES/MOM, IoT und IIoT zu kombinieren.‣ weiterlesen

Die App 5i.Maintenance der vergleichsweise jungen Softwarfirma 5thIndustry will Anwendern einen besseren Überblick über ihre Anlagen samt Wartungsstatus vermitteln. Wesentliche Einsatzzwecke sind die Erfassung von Maschinen und Teilkomponenten samt Eigenschaften wie Standorte, Kostenstellen und Zustandsberichte.‣ weiterlesen

Die neue KI-gestützte Akustikprüfung von Porsche Digital kann Störgeräusche automatisiert erkennen. Mit der Software-as-a-Service-Lösung lassen sich über verschiedene Anwendungsfälle hinweg die Qualität von Produkten und Fertigungsprozessen steigern. Porsche-CIO Mattias Ulbrich erläutert die Arbeitsweise des KI-Systems.‣ weiterlesen

In Kooperation mit dem Zentralverband des deutschen Handwerks (ZDH) wurde die Software Edira von Etes mit dem 'Routenplaner Cyber-Sicherheit im Handwerk' ausgestattet. Diese stellt ab Mai 2022 die kostenlose digitale Version des Routenplaners für das strukturierte Abarbeiten des IT-Grundschutzprofils für Handwerksbetriebe dar.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige