Abo
  • Services:
Anzeige
Derusbi setzt die Driver Signing Policy von Windows außer Kraft.
Derusbi setzt die Driver Signing Policy von Windows außer Kraft. (Bild: Sekoia)

Malware: Derusbi umgeht trickreich die Windows Driver Signing Policy

Derusbi setzt die Driver Signing Policy von Windows außer Kraft.
Derusbi setzt die Driver Signing Policy von Windows außer Kraft. (Bild: Sekoia)

Sicherheitsforscher haben neue Details zu der seit mehreren Jahren aktiven Derusbi-Malware veröffentlicht. Die Malware nutzt Schwachstellen in Treibern aus, um sich unentdeckt auf dem System zu installieren.

Die aus verschiedenen Hacks bekannte Malware Derusbi nutzt eine Schwachstelle in einigen Treibern aus, um die Driver Signing Policy des Betriebssystems Windows außer Gefecht zu setzen - das hat die Sicherheitsfirma Sekoia herausgefunden.

Anzeige

Derusbi ist keine unbekannte Malware. Bereits im Jahr 2008 wurde die Schadsoftware entdeckt. In den vergangenen Jahren tauchte auch vermehrt verwandte Schadsoftware auf. 2011 wurde Derusbi beispielsweise bei einem Hack auf Mitsubishi Heavy Industries eingesetzt. Auch bei dem sogenannten Anthem Hack in diesem Jahr, bei dem rund 79 Millionen Datensätze von Versicherten kopiert wurden, kam sie zum Einsatz.

Die Funktionsweise ist typisch für ausgereifte Malware und Trojaner: Nachdem ein sogenannter Loader ausgeführt wurde, vermutlich mittels Phishing oder Drive-By-Download, wird Derusbi auf das anzugreifende Zielsystem nachgeladen und erweitert die notwendigen Rechte, um einen Angriff vorzunehmen. So können die Systeme so manipuliert werden, dass der eigentliche Angriff erfolgreicher verläuft. Noch dazu wird es Antivirensystemen schwerer gemacht, die eigentliche Schadsoftware auszumachen.

Eine Schwachstelle in alten Treibern ermöglicht den Angriff

Die Experten der französischen Sicherheitsfirma Sekoia haben nun herausgefunden, wie genau es der Schadsoftware gelingt, sich auf dem Zielsystem als legitim auszugeben und warum sie nur schwer durch gängige Abwehrmechanismen gestoppt werden kann. Die Entwickler von Derusbi nutzen eine Schwachstelle (CVE-2013-3956) in veralteten Treibern, um eine Manipulation von Speicheradressinhalten vorzunehmen. Damit gelingt es ihnen, die sogenannte Driver Signing Policy auszutricksen.

Diese Policy dient seit Windows Vista dazu, dass nur signierte und damit von vertrauenswürdigen Herstellern erstellte Treiber geladen werden können. Dieser Mechanismus soll also sicherstellen, dass keine Rootkits installiert werden können. Die Driver Signing Policy lässt sich zwar manuell komplett ausschalten, doch dann befindet sich der Windows-PC im Testmodus, was mit dem Wasserzeichen "Testmodus" in der rechten unteren Ecke des Bildschirmes deutlich gemacht wird - also ein äußerst auffälliges Vorgehen für eine Schadsoftware, die im Verborgenen bleiben möchte.

Driver Signing Policy wird unsichtbar deaktiviert

Laut Sekoia nutzt Derusbi einen neuen Weg, um die Driver Signing Policy zu umgehen. In dem untersuchten Fall werden drei signierte Treiber der Firma Novell geladen, die gegenüber der genannten Schwachstelle anfällig sind, so dass die Speicheradressinhalte manipuliert werden können. Das Besondere an dem Vorgehen ist, dass die Driver Signing Policy durch die Manipulation nicht unmittelbar deaktiviert, sondern letztlich nur der innere Mechanismus zur Überprüfung außer Gefecht gesetzt wird. Die Richtlinie bleibt erhalten, wird aber faktisch wirkungslos. Somit bemerkt weder der Nutzer noch das Betriebssystem oder die Antivirensoftware, dass die Driver Signing Policy nicht so arbeitet wie eigentlich angedacht. Sind diese Vorbereitungen von Derusbi getroffen, wird weitere Schadsoftware platziert und ausgeführt, und der Angriff nimmt seinen Lauf.

Die Experten von Fortinet kamen bereits in früheren Untersuchungen zu dem Ergebnis, dass Derusbi sehr modular ist und von den Entwicklern ein mehrstufiger Ansatz gewählt wurde. Zudem wird die Schadsoftware nur auf bestimmte Ziele angesetzt. Die neuen Erkenntnisse stützen diese Thesen und zeigen, wie zielgenau die Entwickler Schwachstellen zu nutzen wissen, um letztlich Zugriff auf Zielsysteme zu erlangen.

Sowohl die lange Historie der Malware als auch die trickreichen Vorgehensweisen zeigen, dass die Entwickler eine ganze Reihe an Möglichkeiten (und Exploits) haben, um Zielsysteme zu befallen. Es ist anzunehmen, dass das ermittelte Vorgehen zum Befall nur eines von vielen ist und es sich bei Derusbi um einen Baustein einer ganzen Schadsoftware-Suite handelt. Die Entwickler scheinen ein sehr großes Insiderwissen über den Windows-Kernel zu haben und noch dazu ausreichende Ressourcen, um gezielte Angriffe vornehmen zu können. Möglich also, dass es sich um einen Geheimdienst oder eine Organisation mit ähnlich großen Ressourcen handelt.


eye home zur Startseite
Schiwi 10. Dez 2015

Trotzdem beunruhigend dass die Malware Hersteller wohl über große Ressourcen und offenbar...

multivac 08. Dez 2015

zu 1.) Beginning with the release of Windows 10, all new Windows 10 kernel mode drivers...



Anzeige

Stellenmarkt
  1. Dataport, Magdeburg, Rostock
  2. Schneidereit GmbH, Solingen
  3. CERATIZIT Deutschland GmbH, Empfingen
  4. Bosch Software Innovations GmbH, Waiblingen, Berlin


Anzeige
Hardware-Angebote
  1. (Core i7-6700HQ + Geforce GTX 1060)
  2. und 15€ Cashback erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  2. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  3. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  4. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  5. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  6. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft

  7. Hearthstone

    Blizzard schickt Spieler in die Straßen von Gadgetzan

  8. Jolla

    Sailfish OS in Russland als Referenzmodell für andere Länder

  9. Router-Schwachstellen

    100.000 Kunden in Großbritannien von Störungen betroffen

  10. Rule 41

    Das FBI darf jetzt weltweit hacken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

Spielen mit HDR ausprobiert: In den Farbtopf gefallen
Spielen mit HDR ausprobiert
In den Farbtopf gefallen
  1. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  2. HDR Wir brauchen bessere Pixel
  3. Andy Ritger Nvidia will HDR-Unterstützung unter Linux

  1. Re: dauert noch

    MonMonthma | 10:32

  2. Re: DAU-Gesetzgebung für DAUs

    dl01 | 10:32

  3. Immer dasselbe Lied

    C.Behemoth | 10:23

  4. Re: Bezug zum Artikel?

    Moe479 | 10:15

  5. Luke ist ein Massenmörder!

    pythoneer | 10:13


  1. 09:02

  2. 18:27

  3. 18:01

  4. 17:46

  5. 17:19

  6. 16:37

  7. 16:03

  8. 15:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel