Suche

Ransomware: Sicherheitssoftware mit legitimem Treiber deaktiviert

Die Ransomware Blackbyte nutzt die Angriffstechnik Bring your own vulnerable Driver, um Antivirensoftware zu deaktivieren.

Artikel veröffentlicht am ,
Ob dieser Laptop auch betroffen ist? (Bild: Dx21/Pixabay)

Die Ransomwaregruppe Blackbyte nutzt eine Technik, die Sicherheitsforscher als Bring your own vulnerable Driver (BYOVD) bezeichnen. Das ist eine Anspielung auf Bring your own Device (BYOD), bei dem Arbeitnehmer ihre eigene Hardware bei ihrem Arbeitgeber nutzen. Mit der Angriffstechnik lassen sich Treiber und verschiedene Sicherheitslösungen deaktivieren.

Anzeige

Der Ransomwaregruppe werden laut dem Onlinemagazin Bleepingcomputer Angriffe auf eine Version des Treibers MSI Afterburner RTCore64.sys zugeordnet, der über eine Sicherheitslücke (CVE-2019-16098) die Ausweitung von Rechten und das Ausführen von Code ermöglicht. Durch das Ausnutzen der Sicherheitslücke könne Blackbyte Treiber auf dem betroffenen System deaktivieren und so den normalen Betrieb von Antiviren- oder Endpointprotectionsoftware verhindern. Darunter Avast, Sandboxie, Windows Dbghelp Library und Comodo Internet Security.

Laut der Sicherheitsfirma Sophos bietet der missbrauchte MSI-Treiber I/O-Steuercodes, welche über Prozesse im Usermode aufgerufen werden können - was gegen Sicherheitsrichtlinien von Microsoft für den Zugriff auf den Kernelspeicher verstößt. Angreifer können darüber Code im Kernelspeicher lesen, schreiben oder ausführen, ohne einen Exploit oder Shellcode auszuführen.

Auch andere Ransomwaregruppen nutzen die Technik

Systemadministratoren können sich vor dem aktuellen Angriff schützen, indem sie den betroffenen MSI-Treiber zu einer Blockliste hinzufügen. Darüber hinaus sollte die Treiberinstallation überwacht und regelmäßig überprüft werden, um Schadtreiber zu entdecken, die nicht mit der verbauten Hardware übereinstimmen.

Anzeige

Die Angriffstechnik ist besonders effektiv, da die anfälligen Treiber üblicherweise über eine gültige Signatur verfügen und mit umfangreichen Berechtigungen auf dem System ausgeführt werden. Neben Blackbyte setzen auch andere Ransomwaregruppen auf die BYOVD. So missbrauchte Lazarus einen fehlerhaften Dell-Treiber und bisher nicht bekannte Angreifer nutzten einen Anti-Cheat-Treiber des Spiels Genshin Impact für Angriffe.