BlackByte Ransomware deaktiviert Sicherheitslösungen über Windows-Treiber

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Betreiber der BlackByte Ransomware  nutzen eine Schwachstelle in einem legitimen Windows-Treiber (von Micro-Stars MSI AfterBurner 4.6.2.15658) aus, um Sicherheitslösungen auszuhebeln. Darauf haben Sicherheitsforscher von Sophos kürzlich in einem Bericht hingewiesen. Diese Technik ist als BYOVD-Angriff (BYOVD, Bring Your Own Vulnerable Driver) bekannt und nichts neues. Ich möchte das Thema hier aber trotzdem als erneute Warnung aufgreifen.


Anzeige

Bring Your Own Vulnerable Driver

BYOVD steht als Kürzel für Bring Your Own Vulnerable Driver. Das ist eine Angriffstechnik, bei dem ein legitimer und signierter Windows-Treiber über Schwachstellen für Angriffe auf Systeme ausgenutzt wird. Im Juli 2022 berichtete Trend Micro über den Missbrauch eines anfälligen Anti-Cheat-Treibers für das Spiel Genshin Impact mit dem Namen mhyprot2.sys, um Antiviren-Prozesse und -Dienste für die Massenverbreitung von Ransomware zu beenden. Im Mai 2022 zeigte ein weiterer Bericht, wie eine AvosLocker-Ransomware-Variante ebenfalls den anfälligen Avast Anti-Rootkit-Treiber aswarpot.sys zur Umgehung von Sicherheitsfunktionen missbrauchte.

Neuer Fall durch BlackByte-Ransomware

Ein weiterer Fall dieser Angriffstechnik wurde jetzt von Sophos im Beitrag A fresh exploration of the malware uncovers a new tactic for bypassing security products by abusing a known driver vulnerability öffentlich gemacht.

Andreas Klopsch von Sophos schreibt, dass man sich angesichts von Berichten über eine neue Datenleck-Site der BlackByte-Ransomware-Gruppe näher mit der neuesten, in Go geschriebenen, Ransomware-Variante befasst habe. Dabei stieß man auf eine ausgeklügelte Technik zur Umgehung von Sicherheitsprodukten durch Ausnutzung einer bekannten Schwachstelle im legitimen anfälligen Treiber RTCore64.sys.

CVE-2019-16098 in Micro-Stars MSI AfterBurner 4.6.2.15658 Treiber

RTCore64.sys und RTCore32.sys sind Treiber, die von Micro-Stars MSI AfterBurner 4.6.2.15658 verwendet werden. Das ist ein weit verbreitetes Dienstprogramm zur Übertaktung von Grafikkarten, welches eine erweiterte Kontrolle über Grafikkarten im System ermöglicht.

Die Schwachstelle CVE-2019-16098 ermöglicht es einem authentifizierten Benutzer, beliebigen Speicher sowie I/O-Ports und MSR (könnte MSR = Microsoft System Reserved oder Model Specific Register) zu lesen und zu beschreiben. Das kann zur Ausweitung von Privilegien, zur Codeausführung mit hohen Rechten oder zur Offenlegung von Informationen ausgenutzt werden.

Die E/A-Steuercodes in RTCore64.sys sind für Prozesse im Benutzermodus direkt zugänglich. Wie in der Microsoft-Richtlinie zur Sicherung von IOCTL-Codes in Treibern angegeben, gilt die Definition von IOCTL-Codes, die es dem Aufrufer ermöglichen, unspezifische Bereiche des Kernelspeichers zu lesen oder zu schreiben, als gefährlich. Es ist kein Shellcode oder Exploit erforderlich, um die Schwachstelle auszunutzen – es genügt, mit böswilliger Absicht auf diese Steuercodes zuzugreifen.

Sicherheitsprodukte lassen sich deaktivieren

Im Blog-Beitrag geht Andreas Klopsch von Sophos ausführlich auf die Details des Angriffsvektors ein. Am Schluss zählt nur, dass die von der Ransomware genutzte Umgehungstechnik die Deaktivierung von mehr als 1.000 Treibern, auf die sich Sicherheitsprodukte verlassen, unterstützt. Sophos Produkte bieten Schutzmaßnahmen gegen die in diesem Artikel beschriebenen Taktiken. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu BlackByte Ransomware deaktiviert Sicherheitslösungen über Windows-Treiber

  1. Leak sagt:

    Ich denke mal, MSR meint eher "Model-Specific Register":

    https://en.wikipedia.org/wiki/Model-specific_register

  2. Micha sagt:

    Wäre es nicht nützlich eine Liste mit allen aktuell anfälligen Treibern zu veröffentlichen?

    Nur wenn ich weiß welche anfälligen Programme/Treiber auf dem System Installiert sind kann ich aktiv ein Update durchführen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.