Mandiant, SentinelOne und Sophos warnen
Malware in Treibern mit gültigen Zertifikaten
Fortsetzung des Artikels von Teil 1
Vertrauensmissbrauch
Das Hauptproblem bei diesem Vorgehen liegt laut den Security-Experten darin, dass die meisten Sicherheitslösungen implizit allem vertrauen, was nur von Microsoft signiert ist, insbesondere Kernel-Mode-Treibern. Seit Windows 10 verlangt Microsoft, dass alle Kernel-Mode-Treiber über das „Windows Hardware Developer Center Dashboard“-Portal signiert werden. Alles, was nicht über diesen Prozess signiert ist, können moderne Windows-Versionen nicht laden. Dies zielt auf eine strengere Kontrolle von Treibern, die auf der Kernel-Ebene arbeiten. Die Bedrohungsakteure haben allerdings erkannt, dass sie freie Hand haben, wenn es ihnen gelingt, diesen Prozess zu überlisten.
Der Trick besteht darin, einen Treiber zu entwickeln, der Microsofts Sicherheitsprüfungen nicht als bösartig erscheint. Dies ist nicht das erste Mal, dass ein bösartiger Kernel-Mode-Treiber von Microsoft signiert wurde: Im Juni 2021 hatte G Data einen Bericht über ein bösartiges Netfilter-Rootkit publiziert, das mit dem gleichen Verfahren signiert war.
Die Sicherheitsforscher von SentinelOne gehen davon aus, dass verschiedene Bedrohungsakteure die oben erwähnten bösartigen Treiber wie auch den Treiber vom Juni 2021 nutzen. Dies werfe die Frage auf, ob eine oder mehrere Gruppierungen den Prozess der Treibersignierung ausnutzen und als Service für zahlungswillige Bedrohungsakteure anbieten.
Eine andere Theorie besagt, so SentinelOne, dass mehrere Bedrohungsakteure legitime Treiberentwickler kompromittiert haben und deren EV-Zertifikat (Extended Validation) heimlich verwendet haben, um die Treiber mit deren Entwicklerkonto zu signieren und zu übermitteln. Dieses Szenario sei jedoch weniger wahrscheinlich, da die privaten EV-Schlüssel auf einem physischen Hardware-Token gespeichert sein müssen, um digitalen Diebstahl zu verhindern.
Code-Signierungsmechanismen sind ein wichtiges Merkmal moderner Betriebssysteme, so SentinelOne, und die Einführung der Durchsetzung von Treibersignaturen war über Jahre hinweg der Schlüssel zur Eindämmung der Flut von Rootkits. Die nachlassende Effektivität der Codesignierung stelle eine Bedrohung für die Sicherheits- und Überprüfungsmechanismen auf allen Betriebssystemschichten dar. Man hoffe, dass Microsoft Schritte unternimmt, um die Sicherheit seines Signierungsprozesses weiter zu verbessern, damit das implizite Vertrauen in von Microsoft signierte Treiber erhalten bleibt.
Auch der britische Security-Anbieter Sophos hat Schadcode in mehreren Treibern gefunden, die mit legitimen digitalen Zertifikaten signiert sind. Der neue Sophos-Report „Signed Driver Malware Moves up the Software Trust Chain“ beschreibt die Untersuchung, die mit einem versuchten Ransomware-Angriff begann.
Der bösartige Treiber wurde laut den Sophos-Fachleuten mittels einer Malware installiert, die mit Bedrohungsakteuren im Umfeld der Ransomware-Gruppe Cuba in Verbindung stehe – einer äußerst produktiven Gruppe, die laut den Briten im vergangenen Jahr weltweit mehr als 100 Unternehmen erfolgreich angegriffen hat. Sophos’ Rapid Response Team habe den Angriff vereiteln können.
- Malware in Treibern mit gültigen Zertifikaten
- Vertrauensmissbrauch
- Hartnäckige Angreifer
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
