Ransomware-Attacken: Schadcode mit gültigen Zertifikaten

Ransomware-Attacken: Schadcode mit gültigen Zertifikaten

Beitrag teilen

Sophos vereitelt Ransomware-Angriffe durch einen seltenen, bösartigen Treiber, der allerdings mit einem gültigen digitalen Microsoft Zertifikat signiert ist.  Der Treiber zielt auf Endpoint Detection and Response (EDR)-Prozesse ab. Der Angriff steht in Verbindung mit der Cuba Ransomware Group.

Sophos hat Schadcode in mehreren Treibern gefunden, die mit legitimen digitalen Zertifikaten signiert sind. Der neue Report „Signed Driver Malware Moves up the Software Trust Chain“ beschreibt die Untersuchung, die mit einem versuchten Ransomware-Angriff begann. Die Angreifer verwendeten einen bösartigen Treiber, der mit einem legitimen digitalen Windows Hardware Compatibility Publisher-Zertifikat von Microsoft signiert war.

Bösartige Treiber mit gültigen Microsoft-Zertifikaten

Der maliziöse Treiber zielt speziell auf Prozesse ab, die von wichtigen Endpoint Detection and Response (EDR)-Softwarepaketen verwendet werden. Er wurde von einer Malware installiert, die mit Bedrohungsakteuren im Umfeld der Cuba Ransomware Goup in Verbindung gebracht wird – einer äußerst produktiven Gruppe, die im vergangenen Jahr weltweit mehr als 100 Unternehmen erfolgreich angegriffen hat. Sophos Rapid Response konnte den Angriff erfolgreich vereiteln. Diese Untersuchung löste eine umfassende Zusammenarbeit zwischen Sophos und Microsoft aus, um Maßnahmen zu ergreifen und die Bedrohung zu beseitigen.

Problem durch gestohlene Zertifikate

Treiber können hoch privilegierte Operationen auf Systemen durchführen. So können Kernel-Mode-Treiber unter anderem viele Arten von Software, einschließlich Sicherheitssoftware, beenden. Die Kontrolle darüber, welche Treiber geladen werden können, ist eine Möglichkeit, Computer vor dieser Art von Angriffen zu schützen. Windows verlangt, dass Treiber eine kryptografische Signatur – einen „Genehmigungsstempel“ – tragen, bevor der Treiber geladen werden kann.

Allerdings sind nicht alle digitalen Zertifikate, die zum Signieren von Treibern verwendet werden, gleichermaßen vertrauenswürdig. Einige gestohlene und ins Internet gelangte digitale Signierzertifikate wurden später zum Signieren von Malware missbraucht; andere Zertifikate wurden von skrupellosen PUA-Softwareherstellern gekauft und verwendet. Sophos‘ Untersuchung eines schädlichen Treibers, der zur Sabotage von Endpoint Security-Tools während eines Ransomware-Angriffs verwendet wurde, ergab, dass die Angreifer konzertiert vorgingen, um sich von weniger vertrauenswürdigen zu immer vertrauenswürdigeren digitalen Zertifikaten zu bewegen.

Cuba höchstwahrscheinlich involviert

„Diese Angreifer, höchstwahrscheinlich Mitglieder der Ransomware-Gruppe Cuba, wissen, was sie tun – und sie sind hartnäckig“, sagt Christopher Budd, Senior Manager, Threat Research bei Sophos. „Wir haben insgesamt zehn bösartige Treiber gefunden, die alle Varianten der ursprünglichen Entdeckung sind. Diese Treiber zeigen ein konzertiertes Bestreben, in der Vertrauenswürdigkeit aufzusteigen, wobei der älteste Treiber mindestens bis Juli zurückreicht. Die ältesten Treiber, die wir bisher gefunden haben, waren mit Zertifikaten unbekannter chinesischer Unternehmen signiert. Danach haben sie es geschafft, den Treiber mit einem gültigen, durchgesickerten und widerrufenen NVIDIA-Zertifikat zu signieren.

Jetzt verwenden sie ein legitimes Windows Hardware Compatibility Publisher Digital Zertifikat von Microsoft, einer der vertrauenswürdigsten Instanzen im Windows-Ökosystem. Wenn man aus der Sicherheitsperspektive eines Unternehmens betrachtet, haben die Angreifer gültige Unternehmensausweise erhalten, um das Gebäude ohne Fragen zu betreten und zu tun, was sie wollen“, so Christopher Budd weiter.

Versuch der Prozess-Beendung

Eine genauere Untersuchung der ausführbaren Dateien, die bei dem versuchten Ransomware-Angriff verwendet wurden, ergab, dass der bösartige, signierte Treiber mit einer Variante des Loaders BURNTCIGAR auf das Zielsystem heruntergeladen wurde, einer bekannten Malware, die der Ransomware-Gruppe Cuba angehört. Sobald der Loader den Treiber auf das System heruntergeladen hat, wartet er darauf, dass einer von 186 verschiedenen Programmdateinamen, die üblicherweise von wichtigen Endpunktsicherheits- und EDR-Softwarepaketen verwendet werden, gestartet wird, und versucht dann, diese Prozesse zu beenden. Wenn dies gelingt, können die Angreifer die Ransomware einsetzen.

Versuch alle gängigen EDR-Produkte zu umgehen

„Im Jahr 2022 haben wir beobachtet, dass Ransomware-Angreifer zunehmend versuchen, die EDR-Produkte vieler, wenn nicht sogar der meisten großen Hersteller zu umgehen“, so Christopher Budd weiter. „Die gebräuchlichste Technik ist als ‚Bring your own driver‘ bekannt, die BlackByte vor kurzem verwendet hat. Dabei nutzen die Angreifer eine bestehende Schwachstelle in einem legitimen Treiber aus. Es ist weitaus schwieriger, einen bösartigen Treiber von Grund auf neu zu erstellen und ihn von einer legitimen Behörde signieren zu lassen. Sollte dies jedoch gelingen, ist es unglaublich effektiv, da der Treiber beliebige Prozesse ausführen kann, ohne dass dies in Frage gestellt wird.“

Praktisch jede EDR-Software anfällig

Im Fall dieses speziellen Treibers ist praktisch jede EDR-Software anfällig. Glücklicherweise konnten die zusätzlichen Manipulationsschutzmaßnahmen von Sophos den Ransomware-Angriff stoppen. Die Sicherheits-Community muss sich dieser Bedrohung bewusst sein, damit sie zusätzliche Sicherheitsmaßnahmen implementieren kann. Es ist davon auszugehen, dass weitere Angreifer dieses Modell nachahmen werden.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen