Avast Anti-Rootkit-Treiber bei Ransomware-Angriff zur Erhöhung der Berechtigung verwendet

Sicherheit (Pexels, allgemeine Nutzung)[English]Ransomware-Gruppen entwickeln immer neue Taktiken, Techniken und Verfahren (TTPs), um Schutzmaßnahmen bei Angriffen zu umgehen. Andererseits entwickeln sich die Schutzmaßnahmen auf Endpunkten und in Netzwerken  immer weiter. Das Microsoft Detection and Response Team (DART) hat die Tage einen Fallbericht veröffentlicht, wo offengelegt wurde, wie Angreifer den Avast Anti-Rootkit-Treiber verwenden, um bei Ransomware-Angriffen eine Erhöhung der Berechtigung durchzuführen.


Anzeige

Ich bin die Tage über nachfolgenden Tweet auf das Thema gestoßen, weleches das Microsoft Detection and Response Team (DART) im Artikel Defenders beware: A case for post-ransomware investigations offen gelegt hat.

Avast anti-rootkit driver used for elevation of privilege during ransomware attack

Der Beitrag beschreibt die Erkenntnisse aus einem kürzlich aufgetretenen Ransomware-Vorfall. Bei diesem Angriff kamen eine Reihe von Standard-Tools und -Techniken, wie z. B. die Verwendung von "living-off-the-land"-Binärdateien, zur Verbreitung seines bösartigen Codes zum Einsatz. Um Persistenz im Netzwerk zu erhalten, wurde die Software Cobalt Strike mit NT AUTHORITY/SYSTEM (lokales SYSTEM) Privilegien benutzt. Dies ermöglichte den Angreifern, den Zugriff auf das Netzwerk nach dem Zurücksetzen von Passwörtern kompromittierter Konten aufrecht zu erhalten.

Living-off-the-land bedeutet, dass die Angreifer Binärdateien missbrauchen, die bereits auf einem System vorhanden sind. Das können .exe- und .dll-Dateien oder Treiber von Windows oder Anwendungen sein, die vom System mit entsprechenden Berechtigungen ausgeführt werden. Gelingt es einem Angreifer, diese Binärdateien aufzurufen, kann er sich deren Berechtigungen verschaffen.

Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrmaßnahmen zu testen und die eigene Computersicherheit zu erhöhen. Es wird aber auch häufig von echten Angreifern wie APT-Gruppen oder Ransomware-Gangs verwendet.

Dienste und geplante Tasks haben die Option, als NT AUTHORITY\System ausgeführt zu werden. Gelingt bösartigem Code der Zugriff auf Dienste oder können Aufgaben erstellt werden, ermöglicht dies dessen Ausführung mit hoch privilegiertem Zugriff. Bei der Analyse der befallenen Systeme fand das Microsoft Team mehrere geplante Aufgaben und Diensten, die von den Angreifern erstellt wurden, um sich dauerhaft im System einzunisten. Vorher hatten sie Zugang zu hoch privilegierten Anmeldeinformationen erhalten.

Da der Angreifer diese Aufgaben und Dienste auf einem Domänencontroller erstellt hat, konnte er dank des lokalen SYSTEM-Zugriffs problemlos auf Domänenadministrator-Konten zugreifen. Durch die Bereitstellung einer Backdoor auf einem Domänencontroller konnte der Angreifer gängige Wiederherstellungsmaßnahmen, wie z. B. das Zurücksetzen kompromittierter Konten, zur Reaktion auf einen Vorfall umgehen und so im Netzwerk verbleiben.

Der Angreift verwendete einen Anti-Rootkit-Treiber von Avast, um entsprechende Berechtigungen zu erlangen. Unit 42 veröffentlichte kürzlich einen Blog-Beitrag darüber, wie Kuba-Ransomware-Gruppen diesen Treiber verwendet haben, um Antiviren-Software zu deaktivieren, bevor sie die Kuba-Ransomware bereitstellten. Einen ähnlichen Fall hatte ich für den Defender im Blog-Beitrag Lockbit-Angreifer missbrauchen Windows Defender, um Cobalt Strike zu laden dokumentiert.

Der Angreifer installierte im aktuellen Fall den Treiber mit dem Befehl "sc" und aktivierte damit die Berechtigungen auf Kernel-Ebene. Anschließend startete er den Dienst mit "sc start aswSP-ArPot2". Dieser Dienst wurde von dem Akteur verwendet, um die Antiviren-Produkte der Opfer durch Kernel-Berechtigungen zu deaktivieren. Durch die Deaktivierung der Antivirenprodukte im Netzwerk der Opfer wurde sichergestellt, dass sich die Ransomware verbreiten konnte, ohne dass die Malware unter Quarantäne gestellt oder verhindert wurde.

Das Microsoft-Team beschreibt im Blog-Beitrag detailliert die stufenweise Vorgehensweise, um das System zu infiltrieren und sich dann einzunisten.  Dieser Vorfall zeigte auch, dass ein Angreifer eine lange Verweildauer in einem Netzwerk haben kann, bevor er seine Ransomware zur Ausführung bringt.


Anzeige

Microsoft empfiehlt, proaktiv nach Verhaltensweisen zu suchen, die der Ransomware vorausgehen, und das Netzwerk zu härten, um Auswirkungen zu verhindern. Weitere Informationen zur Abwehr von Ransomware-Vorfällen finden Sie hier.

Full statement Avast:

Cuba locker ransomware is abusing a vulnerability in an old version of the Avast Anti-Rootkit Driver aswArPot.sys to evade detection by antivirus solutions. Avast fixed the driver vulnerability in our Avast 21.5 release in June 2021, and worked closely with Microsoft so they were able to release a block in the Windows operating systems 10 and 11, preventing the older version of the Avast driver to be loaded to memory. 

To stay protected against this vulnerability, we recommend users update their Windows operating system with the latest security updates from Microsoft, and use a fully updated antivirus program. All consumer and business antivirus versions of Avast and AVG detect and block this Cuba ransomware variant, so our users are protected from this attack vector. Avast and AVG also block the loading of the vulnerable aswarpot driver, without notifying the user, so our technology protects against this type of malware before it can even get started.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Avast Anti-Rootkit-Treiber bei Ransomware-Angriff zur Erhöhung der Berechtigung verwendet

  1. Daniel sagt:

    Und wieder einmal sieht man dass tief ins System eingreifende Programme wie Antivirensoftware oft genau ein Teil des Problems sind was sie vorgeben zu lösen.

  2. M.D. sagt:

    a) Wieso benötigen Antivirus-Produkte überhaupt einen *Treiber*, der im Kernel-Kontext ausgeführt wird?

    b) Was meinen die mit Netzwerk härten? Doch wohl nicht etwa, dass man zusätzliche Sicherheits-Software allen Ortes installiert und obendrauf noch die Komplexität durch diverse Separierungen und ausufernde Routing- und Firewall-Regeln innerhalb des eigenen Netzes erhöht? So in der Art Security by Complexity.

    c) Wieso wird man bei der Einrichtung eines Windows 11 Systems nicht dazu *gezwungen*, einen zweiten nicht privilegierten Zugang zum System anzulegen und darauf hingewiesen, dass man nur mit diesem die tagtägliche Arbeit erledigen soll und den ersten Zugang mit Adminrechten nur und ausschließlich dann, wenn man Änderungen am System vornehmen möchte?

    d) bis zz) …

    Alles soll irgendwie der Anwender in die Hand nehmen um Angreifern das Leben möglichst schwer zu machen. Dabei wird dann aber großzügig darüber hinweg gesehen, dass sich der Anwender durch den hohen Aufwand, der meist auch noch leistungsmindernde Auswirkungen auf das System hat, das Leben selber schwer macht.

    Das hat schon was, wenn der eigentliche Problemverursacher den Anwendern gute Empfehlungen gibt, wie er das Problem umschiffen kann.

    • 1ST1 sagt:

      Glaubst du, dese Empfehlungen würden nur bei Microsoft-Software Sinn machen? Oder nur bei der Windows-Landschaft? Gegenfragen: Warum hat nicjht jeder Linux-Benutzer gleich auch Root-Rechte? Warum gibt es auch bei Linux-Systemen eine Application-Firewall? Alles unnötig?

      Naja, das hammer schon immer so gemacht, und es ist bisher gut gegangen…

      Ps: Bin letztens durch den Spessart gewandert, da war mitten im Wald eine mittelalterliche Burgruine, die hatte mehrere Mauerringe rund um den Pallas, warum nur…?

  3. bytemaster sagt:

    Warum "Anti-Rootkit". Wenn ich das so sehe, ist das Avastding doch selber schon ein Rootkit?

  4. User007 sagt:

    Hi…

    War schon viel länger bekannt und klar – ist bei/mit anderen AV-Herstellern aber nichts anderes, fiel nur grad hier mit AVAST auf. ☝️

    Btw.:
    "Microsoft empfiehlt, proaktiv nach Verhaltensweisen zu suchen, die der Ransomware vorausgehen, […]"
    Ha, ha, ha, dass ich nicht lache…dann hilft hier eigtl. nur konsequent absolut keine Produkte mehr von einem Betriebssystem-Hersteller, der Software-Drittherstellern solche "Infiltrierungsmöglichkeiten" bietet, zu nutzen! 😉

    • 1ST1 sagt:

      Und du glaubst, in Linux gibts keine Möglichkeit, in Drittanbieter-Software Lücken einzubauen, die eine Infiltration hin zu Root-Rechten ermöglicht?

      • User007 sagt:

        Hab' ich das behauptet?
        Aber wer den aufgearbeiteten Artikel aufmerksam liest, schlußfolgert am Wahrscheinlichsten eher auf die von M$ durchgeführten Tests nur mit Windows-Plattformen – und dazu hat sich mein Beitrag nunmal bezogen.
        Übrigens:
        (Absolute) "Sicherheit" ist ein aufgrund von globalen Naturgesetzen utopisches und daher völlig überschätztes sowie falsch evaluiertes, aber dennoch überall forciert suggeriertes Virtualkonstrukt! 🤨

    • Luzifer sagt:

      mmh also Netzwerkstecker ziehen hilft ;-P dann kannst du sogar auf den Defender verzichten

  5. Anonymous sagt:

    Irgendwelche obskuren Zäune um ein Haus mit mangelhaften Fenstern und Türen waren noch nie eine Lösung.

    Im Moment ist Zaunbasteln und Pentesting der Zäune im Trend. Eigentlich sollte man das Haus reparieren bzw. ordentlich konstruieren, alles andere ist nur dekorative Schönmalerei…

  6. Stefan Kanthak sagt:

    AUTSCH: da Treiber (egal ob per SC.exe, REG.exe oder .INF-Skript) nur von Administratoren installiert und geladen werden können hatte der Angreifer schon vor dem Missbrauch des eigens mitgebrachten Altherthums die volle Kontrolle über das System.
    JFTR: der Unterschied zwischen SYSTEM und Administrator ist, dass Letzterer z.B. die Privilegien "Backup" und "Restore" noch aktivieren muss, um ALLE Objekte des Systems unabhängig von (NTFS- etc.) Zugriffsrechten/beschränkungen lesen und schreiben zu können.
    Siehe https://skanthak.homepage.t-online.de/tidbits.html#twiddler

Schreibe einen Kommentar zu Stefan Kanthak Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.