Das Terminator-Tool kommt zurück

Sophos News

Beitrag teilen

BYOVD (Bring Your Own Vulnerable Driver) stehen als EDR-Killer bei Bedrohungsakteuren nach wie vor hoch im Kurs.

Ein Grund ist, dass hiermit ein Angriff auf Kernel-Ebene in Aussicht steht, was den Cyberkriminellen ein breites Spektrum an Handlungsmöglichkeiten einräumt – vom Verstecken von Malware über das Ausspähen von Anmeldedaten bis hin zum Versuch, die EDR-Lösungen zu deaktivieren. Die Sophos Security-Spezialisten Andreas Klopsch und Matt Wixey haben das Geschehen mit den Terminator-Tools während der letzten sechs Monate genau unter die Lupe genommen und im Report „It’ll be back: Attackers still abusing Terminator tool and variants“ zusammengefasst.

Treiber-Schleusereien

BYOVD ist eine Angriffsklasse, bei der Bedrohungsakteure bekannte und zugleich anfällige Treiber auf einen kompromittierten Computer einschleusen, um Rechte auf Kernel-Ebene zu erlangen. Bei der Wahl von anfälligen Treibern haben die Cyberkriminellen leichtes Spiel: Beispielsweise auf dem Open-Source-Repository loldrivers.io sind 364 Einträge für anfällige Treiber inklusive entsprechender Signaturen und Hashes aufgeführt. Dieses bequeme Identifizieren von geeigneten Treibern ist einer der Gründe, weshalb BYOVD-Angriffe heute nicht nur hoch professionellen Bedrohungsakteuren vorbehalten sind, sondern auch von weniger versierten Ransomware- Angreifern durchgeführt werden können.

Ein weiterer möglicher Grund für die anhaltende Beliebtheit von BYOVD bei technisch weniger kompetenten Cyberkriminellen ist die Tatsache, dass sie die benötigten Kits und Tools quasi von der Stange in kriminellen Foren erwerben können. Eines dieser Tools erregte im Mai 2023 besondere Aufmerksamkeit, als der bekannte Bedrohungsakteur “spyboy“ im russischsprachigen Ransomware-Forum RAMP ein Tool namens Terminator anbot. Das Tool sollte zwischen 300 und 3.000 USD kosten und 24 Sicherheitsprodukte deaktivieren können.

So können sich Unternehmen schützen

Viele der Security-Anbieter auf der Liste von spyboy, darunter auch Sophos, haben umgehend gehandelt, um Varianten von Treibern zu untersuchen und Schutzmaßnahmen zu entwickeln. Sophos empfiehlt vier Schritte, um sich vor BYOVD-Attacken zu schützen:

  • Prüfen, ob das Endpoint Security-Produkt einen Manipulationsschutz implementiert hat.
  • Umsetzung einer strengen Hygiene bei den Windows-Sicherheitsrollen, da BYOVD-Angriffe in der Regel durch Privilegienerweiterung und der Umgehung der UAC ermöglicht wird.
  • Alle Betriebssysteme und Anwendungen stets auf dem neuesten Stand halten sowie das Entfernen von älterer Software.
  • Aufnahme anfälliger Treiber in das Programm zum Schwachstellenmanagement. Bedrohungsakteure könnten versuchen, anfällige legitime Treiber auszunutzen, die bereits auf einem angegriffenen System vorhanden sind.
Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Microsoft Patchday: Über 1.000 Sicherheitsupdates im Februar 2025  

Vom 6. bis 11. Februar hat Microsoft zum Patchday 1.212 Hinweise und Sicherheitsupdates für seine Services und Systeme bereitgestellt. Darunter ➡ Weiterlesen

Backdoor in Überwachungsmonitor als Schwachstelle eingestuft

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung zu einer Backdoor in medizinischen Überwachungsmonitoren, die durch eine Benachrichtigung ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Software-Tester: Fake-Jobangebote mit Malware aus Nordkorea

Über eine aktive Kampagne mit gefälschten Jobangeboten auf LinkedIn greifen Hacker Bewerber an: Im Rahmen des Bewerbungsverfahrens erhalten die Angreifer ➡ Weiterlesen

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

[starbox id=USER_ID] <🔎> ff7f00 Einbau einer aufklappbaren box
Chrome unter Windows