研究人员在野外发现了微软签署的FiveSys Rootkit

一个新识别的rootkit被发现，带有微软发布的有效数字签名，用于将流量代理到攻击者感兴趣的互联网地址，攻击目标是中国的在线游戏玩家，攻击持续了一年多

总部位于布加勒斯特的网络安全技术公司Bitdefender将该恶意软件命名为“FiveSys”，并指出其可能的凭证盗窃和游戏内购买劫持动机。自那以后，这家Windows制造商在负责任的披露后撤销了该签名

“数字签名是建立信任的一种方式，”Bitdefender研究人员在一份白皮书中说，并补充说“有效的数字签名有助于攻击者绕过操作系统对将第三方模块加载到内核中的限制。一旦加载，rootkit允许其创建者获得几乎无限的权限。”

rootkit既回避又隐蔽，因为它们为威胁行为人在受害者系统上提供了一个根深蒂固的立足点，并对操作系统（OS）和反恶意软件解决方案隐藏其恶意行为，使对手即使在重新安装操作系统或更换硬盘驱动器后也能保持持久性

在FiveSys的情况下，恶意软件的主要目的是通过自定义代理服务器将HTTP和HTTPS连接的互联网流量重定向并路由到攻击者控制下的恶意域。rootkit运营商还采用了一种做法，即使用被盗证书的签名阻止列表阻止竞争组的司机装载，以防止他们控制机器

“为了使潜在的删除尝试更加困难，rootkit在“.xyz”[顶级域]上内置了一个包含300个域的列表，”研究人员指出。“它们似乎是随机生成的，并以加密形式存储在二进制文件中。”

这一发展标志着微软通过Windows硬件质量实验室（WHQL）签名过程发布的具有有效数字签名的恶意驱动程序第二次从漏洞中溜走。在2021年6月下旬，德国网络安全公司G数据披露了另一个被称为“NETFLASE”的rootkit的细节（并且被微软追踪为“RealLIFT”），它和FiveSys一样，也瞄准了中国的游戏玩家。