Wenn Hacker die Security-Software übernehmen

B2B Cyber Security ShortNews

Beitrag teilen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe eingesetzt wird? Hacker nutzen legitime Treiber von Anti-Malware-Software für ihre Zwecke aus und beherrschen so die Systeme. 

Das Team des Trellix Advanced Research Center hat kürzlich eine bösartige Kampagne aufgedeckt, die Treiber einer Anti-Viren-Software ausnutzt. Anstatt Abwehrmaßnahmen zu umgehen, geht diese Malware einen perfideren Weg: Sie lädt einen legitimen Avast Anti-Rootkit-Treiber (aswArPot.sys) herunter und manipuliert ihn, um ihre zerstörerischen Pläne umzusetzen. Die Malware nutzt den tiefen Zugriff, den der Treiber gewährt, um Sicherheitsprozesse zu beenden, Schutzsoftware zu deaktivieren und die Kontrolle über das infizierte System zu übernehmen.

Anzeige

Kernelmodustreiber haben die Macht

Was dies noch alarmierender macht, ist das Vertrauen in Kernelmodustreiber, die eigentlich das System im Kern schützen sollen und in diesem Fall in Werkzeuge der Zerstörung verwandelt werden. In einem technischen Artikel analysieren die Experten von Trellix, wie diese Malware funktioniert und zeigen die Funktionsweise einer Kampagne, die genau die Abwehrmechanismen korrumpiert, die sie eigentlich schützen soll.

Die Infektionskette

Der Start der Infektionskette der Malware (kill-floor.exe) beginnt mit dem Ablegen eines legitimen Avast Anti-Rootkit-Treibers (aswArPot.sys). Die Malware legt den legitimen Kernel-Treiber als „ntfs.bin“ im Windows-Verzeichnis „ C:\Users\Default\AppData\Local\Microsoft\Windows “ ab. Anstatt für ihre bösartigen Aktivitäten einen speziell entwickelten Treiber zu verwenden, nutzt die Malware einen vertrauenswürdigen Kernel-Treiber. Dies verleiht ihr den Anschein von Legitimität und ermöglicht es ihr, keine Alarme auszulösen, während sie sich darauf vorbereitet, die Abwehr des Systems zu untergraben. Mehr zu Ablauf zeigt der Forschungsartikel. Die Angreifer kennen über 140 Treiber-Namen von Antiviren-Software und wollen diese durch einen manipulierten Treiber ersetzen.

Trellix empfiehlt die folgende BYOVD-Expertenregel, um Systeme vor Malware-Angriffen im Kernelmodus zu schützen. Durch Befolgen dieser Empfehlung können Benutzer Versuche, anfällige Treiber wie aswArPot.sys auszunutzen, effektiv blockieren und ihre Systeme vor Malware-Angriffen im Kernelmodus schützen.

Mehr bei Trellix.com

 


Über Trellix

Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.


 

Passende Artikel zum Thema

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen

Bedrohungserkennung mit Sigma-Regeln

Open-Source-Projekte sind unverzichtbar für die Weiterentwicklung der Softwarelandschaft. Sie ermöglichen es einer globalen Community von Entwicklern und Cybersicherheitsexperten, Wissen auszutauschen, ➡ Weiterlesen

BSI: Brute-Force-Angriffe gegen Citrix Netscaler Gateways

Aktuell werden dem BSI verstärkt Brute-Force-Angriffe gegen Citrix Netscaler Gateways aus verschiedenen KRITIS-Sektoren sowie von internationalen Partnern gemeldet. Die aktuellen ➡ Weiterlesen

Mutmaßliche Spionagekampagne mit Malware namens Voldemort

Cybersecurity-Experten konnten eine großangelegte Malware-Kampagne namens Voldemort identifizieren. Die Malware, die dabei zum Einsatz kommt, wurde dabei über Phishing-E-Mails verbreitet. ➡ Weiterlesen

Cyberangriffe kosten im Schnitt 1 Million US-Dollar

Cyberangriffe kosten Unternehmen in Deutschland fast genauso viel wie ihre jährlichen Investitionen in Cybersicherheit. Insgesamt beträgt  das durchschnittliche IT-Budget 5,9 ➡ Weiterlesen

Brillen.de meldet Datenleck mit Kundendaten

Der Anbieter Brillen.de musste seinen Kunden ein Datenleck mitteilen. So soll für eine kurze Zeit ein externer Zugriff auf Kundendaten ➡ Weiterlesen