Mandiant, SentinelOne und Sophos warnen
Malware in Treibern mit gültigen Zertifikaten
Fortsetzung des Artikels von Teil 2
Hartnäckige Angreifer
„Diese Angreifer, höchstwahrscheinlich Mitglieder der Ransomware-Gruppe Cuba, wissen, was sie tun – und sie sind hartnäckig“, sagt Christopher Budd, Senior Manager Threat Research bei Sophos. „Wir haben insgesamt zehn bösartige Treiber gefunden, die alle Varianten der ursprünglichen Entdeckung sind. Diese Treiber zeigen ein konzertiertes Bestreben, in der Vertrauenswürdigkeit aufzusteigen, wobei der älteste Treiber mindestens bis Juli zurückreicht.“
Die ältesten Treiber, die Sophos bislang gefunden hat, waren laut Budd mit Zertifikaten unbekannter chinesischer Unternehmen signiert. „Danach haben sie (die Angreifer, d.Red.) es geschafft, den Treiber mit einem gültigen, durchgesickerten und widerrufenen Nvidia-Zertifikat zu signieren“, so Budd weiter. Jetzt verwendeten sie ein legitimes Zertifikat von Microsoft – also naturgemäß einer vertrauenswürdigen Instanz in der Windows-Welt. „Wenn man aus der Sicherheitsperspektive eines Unternehmens betrachtet, haben die Angreifer gültige Unternehmensausweise erhalten, um das Gebäude ohne Fragen zu betreten und zu tun, was sie wollen“, so Budd.
Eine genauere Untersuchung der ausführbaren Dateien, die bei dem versuchten Ransomware-Angriff zum Einsatz kamen, ergab laut Sophos, dass der bösartige, signierte Treiber mit einer Variante des Loaders Burntcigar auf dem Zielsystem landete, einer Malware, die zur Ransomware-Gruppe Cuba gehört. Hat der Loader den Treiber auf das System geladen, wartet er darauf, dass eine von 186 verschiedenen Programmdateien starten, die üblicherweise bei wichtigen Endpunktsicherheits- und EDR-Software Verwendung finden, und versucht dann, diese Prozesse zu beenden. Gelingt dies, können die Angreifer die Ransomware einsetzen.
„Im Jahr 2022 haben wir beobachtet, dass Ransomware-Angreifer zunehmend versuchen, die EDR-Produkte vieler, wenn nicht sogar der meisten großen Hersteller zu umgehen“, so Sophos-Fachmann Budd. „Die gebräuchlichste Technik ist als ‚Bring Your Own Driver‘ bekannt, die BlackByte vor Kurzem verwendet hat. Dabei nutzen die Angreifer eine bestehende Schwachstelle in einem legitimen Treiber aus.“ Es sei weitaus schwieriger, einen bösartigen Treiber von Grund auf neu zu erstellen und ihn von einer legitimen Stelle signieren zu lassen. „Sollte dies jedoch gelingen, ist es unglaublich effektiv, da der Treiber beliebige Prozesse ausführen kann, ohne dass dies in Frage gestellt wird“, erläutert Budd.
Sophos hat nach Entdeckung des Treibers umgehend mit Microsoft zusammengearbeitet, um das Problem zu beheben. Microsoft hat in seinen Sicherheitshinweisen weitere Informationen veröffentlicht und im Rahmen seines Patch Tuesday veröffentlicht.
Fazit: Aktuelle Patches einspielen lohnt sich – und angesichts aktueller Entwicklungen auf Angreiferseite neuerdings umso mehr.
- Malware in Treibern mit gültigen Zertifikaten
- Vertrauensmissbrauch
- Hartnäckige Angreifer
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
