Ransomware: Sicherheitssoftware mit legitimem Treiber deaktiviert

Die Ransomware Blackbyte nutzt die Angriffstechnik Bring your own vulnerable Driver, um Antivirensoftware zu deaktivieren.

Artikel veröffentlicht am ,
Ob dieser Laptop auch betroffen ist?
Ob dieser Laptop auch betroffen ist? (Bild: Dx21/Pixabay)

Die Ransomwaregruppe Blackbyte nutzt eine Technik, die Sicherheitsforscher als Bring your own vulnerable Driver (BYOVD) bezeichnen. Das ist eine Anspielung auf Bring your own Device (BYOD), bei dem Arbeitnehmer ihre eigene Hardware bei ihrem Arbeitgeber nutzen. Mit der Angriffstechnik lassen sich Treiber und verschiedene Sicherheitslösungen deaktivieren.

Der Ransomwaregruppe werden laut dem Onlinemagazin Bleepingcomputer Angriffe auf eine Version des Treibers MSI Afterburner RTCore64.sys zugeordnet, der über eine Sicherheitslücke (CVE-2019-16098) die Ausweitung von Rechten und das Ausführen von Code ermöglicht. Durch das Ausnutzen der Sicherheitslücke könne Blackbyte Treiber auf dem betroffenen System deaktivieren und so den normalen Betrieb von Antiviren- oder Endpointprotectionsoftware verhindern. Darunter Avast, Sandboxie, Windows Dbghelp Library und Comodo Internet Security.

Laut der Sicherheitsfirma Sophos bietet der missbrauchte MSI-Treiber I/O-Steuercodes, welche über Prozesse im Usermode aufgerufen werden können - was gegen Sicherheitsrichtlinien von Microsoft für den Zugriff auf den Kernelspeicher verstößt. Angreifer können darüber Code im Kernelspeicher lesen, schreiben oder ausführen, ohne einen Exploit oder Shellcode auszuführen.

Auch andere Ransomwaregruppen nutzen die Technik

Systemadministratoren können sich vor dem aktuellen Angriff schützen, indem sie den betroffenen MSI-Treiber zu einer Blockliste hinzufügen. Darüber hinaus sollte die Treiberinstallation überwacht und regelmäßig überprüft werden, um Schadtreiber zu entdecken, die nicht mit der verbauten Hardware übereinstimmen.

Die Angriffstechnik ist besonders effektiv, da die anfälligen Treiber üblicherweise über eine gültige Signatur verfügen und mit umfangreichen Berechtigungen auf dem System ausgeführt werden. Neben Blackbyte setzen auch andere Ransomwaregruppen auf die BYOVD. So missbrauchte Lazarus einen fehlerhaften Dell-Treiber und bisher nicht bekannte Angreifer nutzten einen Anti-Cheat-Treiber des Spiels Genshin Impact für Angriffe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /