Das Terminator-Tool kommt zurück

Sophos News

Beitrag teilen

BYOVD (Bring Your Own Vulnerable Driver) stehen als EDR-Killer bei Bedrohungsakteuren nach wie vor hoch im Kurs.

Ein Grund ist, dass hiermit ein Angriff auf Kernel-Ebene in Aussicht steht, was den Cyberkriminellen ein breites Spektrum an Handlungsmöglichkeiten einräumt – vom Verstecken von Malware über das Ausspähen von Anmeldedaten bis hin zum Versuch, die EDR-Lösungen zu deaktivieren. Die Sophos Security-Spezialisten Andreas Klopsch und Matt Wixey haben das Geschehen mit den Terminator-Tools während der letzten sechs Monate genau unter die Lupe genommen und im Report “It’ll be back: Attackers still abusing Terminator tool and variants” zusammengefasst.

Treiber-Schleusereien

BYOVD ist eine Angriffsklasse, bei der Bedrohungsakteure bekannte und zugleich anfällige Treiber auf einen kompromittierten Computer einschleusen, um Rechte auf Kernel-Ebene zu erlangen. Bei der Wahl von anfälligen Treibern haben die Cyberkriminellen leichtes Spiel: Beispielsweise auf dem Open-Source-Repository loldrivers.io sind 364 Einträge für anfällige Treiber inklusive entsprechender Signaturen und Hashes aufgeführt. Dieses bequeme Identifizieren von geeigneten Treibern ist einer der Gründe, weshalb BYOVD-Angriffe heute nicht nur hoch professionellen Bedrohungsakteuren vorbehalten sind, sondern auch von weniger versierten Ransomware- Angreifern durchgeführt werden können.

Ein weiterer möglicher Grund für die anhaltende Beliebtheit von BYOVD bei technisch weniger kompetenten Cyberkriminellen ist die Tatsache, dass sie die benötigten Kits und Tools quasi von der Stange in kriminellen Foren erwerben können. Eines dieser Tools erregte im Mai 2023 besondere Aufmerksamkeit, als der bekannte Bedrohungsakteur “spyboy“ im russischsprachigen Ransomware-Forum RAMP ein Tool namens Terminator anbot. Das Tool sollte zwischen 300 und 3.000 USD kosten und 24 Sicherheitsprodukte deaktivieren können.

So können sich Unternehmen schützen

Viele der Security-Anbieter auf der Liste von spyboy, darunter auch Sophos, haben umgehend gehandelt, um Varianten von Treibern zu untersuchen und Schutzmaßnahmen zu entwickeln. Sophos empfiehlt vier Schritte, um sich vor BYOVD-Attacken zu schützen:

  • Prüfen, ob das Endpoint Security-Produkt einen Manipulationsschutz implementiert hat.
  • Umsetzung einer strengen Hygiene bei den Windows-Sicherheitsrollen, da BYOVD-Angriffe in der Regel durch Privilegienerweiterung und der Umgehung der UAC ermöglicht wird.
  • Alle Betriebssysteme und Anwendungen stets auf dem neuesten Stand halten sowie das Entfernen von älterer Software.
  • Aufnahme anfälliger Treiber in das Programm zum Schwachstellenmanagement. Bedrohungsakteure könnten versuchen, anfällige legitime Treiber auszunutzen, die bereits auf einem angegriffenen System vorhanden sind.
Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Kurios: Malware-Entwickler verrät sich selbst durch Fehler

Die Entlarvung des Styx Stealers: Wie der Ausrutscher eines Hackers zur Entdeckung einer riesigen Datenmenge auf seinem eigenen Computer führte. Der ➡ Weiterlesen

NIS2-Richtlinie für die Cybersicherheit in der EU

Die Einführung der NIS2-Richtlinie der EU, die bis Oktober 2024 von den Mitgliedstaaten in nationales Recht umgesetzt werden soll, bringt ➡ Weiterlesen

Best-of-Breed für die Cybersicherheit

Geschichte wiederholt sich, auch im Bereich der Cybersicherheit. Es gibt Zyklen der Konsolidierung und der Modularisierung. Aktuell wird Konsolidierung wieder ➡ Weiterlesen

Webinar 17. September: NIS2 rechtskonform umsetzen

NIS2 Deep Dive: In einem kostenlosen, deutschsprachigem Webinar am 17. September ab 10 Uhr klärt ein Rechtsanwalt auf, wie Unternehmen ➡ Weiterlesen

Ransomware: Überdurchschnittlich viele Angriffe im Bildungssektor

Die Zahl kompromittierter Backups sowie die Datenverschlüsselungsraten durch Ransomware im Bildungssektor sind im Vergleich zum Vorjahr gestiegen. Die Wiederherstellungskosten nach ➡ Weiterlesen

Schwachstelle in der Google Cloud Platform (GCP)

Ein Unternehmen für Exposure Management, gibt bekannt, dass das Research Team eine Schwachstelle in der Google Cloud Platform (GCP) identifiziert ➡ Weiterlesen

NIST-Standards zur Quantum-Sicherheit

Die Veröffentlichung der Post-Quantum-Standards durch das National Institute of Standards and Technology (NIST) markiert einen entscheidenden Fortschritt in der Absicherung ➡ Weiterlesen

Cisco-Lizenzierungstool mit kritischen 9.8 Schwachstellen

Cisco meldet kritische Schwachstellen in der Cisco Smart Licensing Utility die einen CVSS Score 9.8 von 10 erreichen. Diese Schwachstellen ➡ Weiterlesen

[starbox id=USER_ID] <🔎> ff7f00 Einbau einer aufklappbaren box
Chrome unter Windows