100 schädliche von Microsoft signierte Treiber entdeckt

100 schädliche von Microsoft signierte Treiber entdeckt - Bild von Markus Spiske auf Pixabay

Beitrag teilen

Die Experten von Sophos haben 100 schädliche Treiberentdeckt , die vom Microsoft Windows Hardware Compatibility Publisher (WHCP) signiert wurden. Die meisten sind sogenannte „EDR-Killer“, die speziell dafür entwickelt wurden, verschiedene EDR/AV-Software auf den Systemen der Opfer anzugreifen und zu beenden. 

Sophos X-Ops hat 133 bösartige Treiber entdeckt, die mit legitimen digitalen Zertifikaten signiert sind; 100 davon wurden vom Microsoft Windows Hardware Compatibility Publisher (WHCP) signiert. Den von WHCP signierten Treibern vertraut jedes Windows-System grundsätzlich, sodass Angreifer sie installieren können, ohne Alarm auszulösen und anschließend praktisch ungehindert böswillige Aktivitäten ausführen können.

Treiber legen EDR- und AV-Software lahm

🔎 Die verwendeten WHCP Zertifikate wurden mit bereits früh im Jahr 2022 offiziell signiert (Bild: Sophos).

Bei 81 der gefundenen Treiber handelte es sich um sogenannte „EDR-Killer“, die speziell dafür entwickelt wurden, verschiedene EDR/AV-Software auf den Systemen der Opfer anzugreifen und zu beenden. Diese Treiber ähneln den bereits im Dezember 2022 von Sophos X-Ops entdeckten Treibern. Die restlichen Treiber – 32 davon wurden von WHCP signiert – waren Rootkits. Viele dieser Programme wurden entwickelt, um vertrauliche Daten, die über das Internet gesendet werden, heimlich zu überwachen. X-Ops hat die bösartigen Treiber nach der Entdeckung umgehend an Microsoft gemeldet und die Probleme wurden mit dem letzten Patch Tuesday behoben.

Alle Details zu der Untersuchung gibt es im englischsprachigen X—Ops-Blog-Artikel. Dieser Beitrag ist eine Fortsetzung eines Beitrags vom Dezember 2022, in dem Sophos, Mandiant und SentinelOne über die Signierung mehrerer Treiber durch Microsoft berichteten. Diese Treiber zielten speziell auf eine breite Palette von AV/EDR-Software ab.

Besorgniserregender Anstieg von Aktivitäten

„Seit Oktober letzten Jahres beobachten wir einen besorgniserregenden Anstieg von Aktivitäten durch Kriminelle, die böswillig signierte Treiber ausnutzen, um verschiedene Cyberangriffe, einschließlich Ransomware, durchzuführen. Wir gingen damals davon aus, dass Angreifer diesen Angriffsvektor weiterhin ausnutzen würden, was sich nun bewahrheitet hat. Da Treiber häufig mit dem ‚Kern‘ des Betriebssystems kommunizieren und damit vor der Sicherheitssoftware geladen werden, können sie bei Missbrauch besonders wirksam bei der Deaktivierung von Sicherheitsmaßnahmen sein – insbesondere, wenn sie von einer vertrauenswürdigen Autorität signiert sind.

Viele der von uns entdeckten bösartigen Treiber wurden speziell dafür entwickelt, EDR-Produkte anzugreifen und ‚auszuschalten‘, wodurch die betroffenen Systeme für eine Reihe bösartiger Aktivitäten anfällig werden. Es ist schwierig, eine Signatur für einen bösartigen Treiber zu erhalten, daher wird diese Technik vor allem von fortgeschrittenen Bedrohungsakteuren bei gezielten Angriffen eingesetzt. Darüber hinaus sind diese speziellen Treiber nicht herstellerspezifisch, sie zielen auf eine breite Palette von EDR-Software ab. Aus diesem Grund müssen sich alle IT-Security-Teams mit dem Thema auseinandersetzen und bei Bedarf zusätzliche Schutzmaßnahmen implementieren. Es ist wichtig, dass Unternehmen, die am Patch Tuesday von Microsoft bereitgestellten Patches implementieren.“ so Christopher Budd, Director Threat Research bei Sophos X-Ops.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

EMA: Cloud Connector für Microsoft 365

Für die einfachere Anbindung der Datenmanagement- und Archivierungslösung EMA an Microsoft 365 Exchange Online sowie an lokale Exchange-Infrastrukturen ist jetzt ➡ Weiterlesen

Analyse von BSI gelisteter APT-Gruppe Earth Estries

Die vom BSI als in Deutschland aktiv gelistete APT-Gruppe Earth Estries, auch bekannt als Salt Typhoon, FamousSparrow, GhostEmperor und UNC2286, ➡ Weiterlesen

MDR-Kunden erhalten bis zu 1 Million US-Dollar Schadensersatz

Klassische Cyber-Versicherungen gibt es zwar schon länger, aber nicht in dieser Form: Bitdefender-MDR-Kunden erhalten bei Sicherheitsvorfällen mit Folgen für den ➡ Weiterlesen

Ransomware: Typische Angriffsschritte einer Cyberattacke

Nach einer Cyberattacke ist es schwierig, den Angriffshergang zu rekonstruieren. Ein führender Anbieter für Cybersicherheit hat analysiert, in welchen Angriffsschritten ➡ Weiterlesen

XDR: KI-Funktionen erkennen und wehren Bedrohungen ab

Bei der Erkennung und Neutralisierung von Bedrohungen kann für Sicherheitsexperten, darunter auch Managed Service Provider (MSP), jede Minute entscheidend sein. ➡ Weiterlesen

Modulare Speicherlösung – Hochsicher und sofort verfügbar

Hochsichere Speicherlösungen müssen nicht nur höchsten Qualitätsansprüchen genügen, sie müssen schnell arbeiten und so schnell wie möglich verfügbar sein. FAST ➡ Weiterlesen

Netzwerkprobleme fordern Industrieunternehmen heraus

Netzwerkprobleme sind eine häufig auftretende Herausforderung in Industrieunternehmen. 38 Prozent von ihnen sind ein bis drei Mal im Monat davon ➡ Weiterlesen

SIEM-Strategie für moderne Cybersicherheit

Die Bedrohungslage im Cyberraum spitzt sich weiter zu. Cyberkriminelle agieren zunehmend professionell. Sie bieten Ransomware-Kits im Affiliate-Modell an und verkaufen ➡ Weiterlesen