Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe eingesetzt wird? Hacker nutzen legitime Treiber von Anti-Malware-Software für ihre Zwecke aus und beherrschen so die Systeme.
Das Team des Trellix Advanced Research Center hat kürzlich eine bösartige Kampagne aufgedeckt, die Treiber einer Anti-Viren-Software ausnutzt. Anstatt Abwehrmaßnahmen zu umgehen, geht diese Malware einen perfideren Weg: Sie lädt einen legitimen Avast Anti-Rootkit-Treiber (aswArPot.sys) herunter und manipuliert ihn, um ihre zerstörerischen Pläne umzusetzen. Die Malware nutzt den tiefen Zugriff, den der Treiber gewährt, um Sicherheitsprozesse zu beenden, Schutzsoftware zu deaktivieren und die Kontrolle über das infizierte System zu übernehmen.
Kernelmodustreiber haben die Macht
Was dies noch alarmierender macht, ist das Vertrauen in Kernelmodustreiber, die eigentlich das System im Kern schützen sollen und in diesem Fall in Werkzeuge der Zerstörung verwandelt werden. In einem technischen Artikel analysieren die Experten von Trellix, wie diese Malware funktioniert und zeigen die Funktionsweise einer Kampagne, die genau die Abwehrmechanismen korrumpiert, die sie eigentlich schützen soll.
Die Infektionskette
Der Start der Infektionskette der Malware (kill-floor.exe) beginnt mit dem Ablegen eines legitimen Avast Anti-Rootkit-Treibers (aswArPot.sys). Die Malware legt den legitimen Kernel-Treiber als „ntfs.bin“ im Windows-Verzeichnis „ C:\Users\Default\AppData\Local\Microsoft\Windows “ ab. Anstatt für ihre bösartigen Aktivitäten einen speziell entwickelten Treiber zu verwenden, nutzt die Malware einen vertrauenswürdigen Kernel-Treiber. Dies verleiht ihr den Anschein von Legitimität und ermöglicht es ihr, keine Alarme auszulösen, während sie sich darauf vorbereitet, die Abwehr des Systems zu untergraben. Mehr zu Ablauf zeigt der Forschungsartikel. Die Angreifer kennen über 140 Treiber-Namen von Antiviren-Software und wollen diese durch einen manipulierten Treiber ersetzen.
Trellix empfiehlt die folgende BYOVD-Expertenregel, um Systeme vor Malware-Angriffen im Kernelmodus zu schützen. Durch Befolgen dieser Empfehlung können Benutzer Versuche, anfällige Treiber wie aswArPot.sys auszunutzen, effektiv blockieren und ihre Systeme vor Malware-Angriffen im Kernelmodus schützen.
Mehr bei Trellix.com
Über Trellix Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.