Wenn Hacker die Security-Software übernehmen

B2B Cyber Security ShortNews

Beitrag teilen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe eingesetzt wird? Hacker nutzen legitime Treiber von Anti-Malware-Software für ihre Zwecke aus und beherrschen so die Systeme. 

Das Team des Trellix Advanced Research Center hat kürzlich eine bösartige Kampagne aufgedeckt, die Treiber einer Anti-Viren-Software ausnutzt. Anstatt Abwehrmaßnahmen zu umgehen, geht diese Malware einen perfideren Weg: Sie lädt einen legitimen Avast Anti-Rootkit-Treiber (aswArPot.sys) herunter und manipuliert ihn, um ihre zerstörerischen Pläne umzusetzen. Die Malware nutzt den tiefen Zugriff, den der Treiber gewährt, um Sicherheitsprozesse zu beenden, Schutzsoftware zu deaktivieren und die Kontrolle über das infizierte System zu übernehmen.

Anzeige

Kernelmodustreiber haben die Macht

Was dies noch alarmierender macht, ist das Vertrauen in Kernelmodustreiber, die eigentlich das System im Kern schützen sollen und in diesem Fall in Werkzeuge der Zerstörung verwandelt werden. In einem technischen Artikel analysieren die Experten von Trellix, wie diese Malware funktioniert und zeigen die Funktionsweise einer Kampagne, die genau die Abwehrmechanismen korrumpiert, die sie eigentlich schützen soll.

Die Infektionskette

Der Start der Infektionskette der Malware (kill-floor.exe) beginnt mit dem Ablegen eines legitimen Avast Anti-Rootkit-Treibers (aswArPot.sys). Die Malware legt den legitimen Kernel-Treiber als „ntfs.bin“ im Windows-Verzeichnis „ C:\Users\Default\AppData\Local\Microsoft\Windows “ ab. Anstatt für ihre bösartigen Aktivitäten einen speziell entwickelten Treiber zu verwenden, nutzt die Malware einen vertrauenswürdigen Kernel-Treiber. Dies verleiht ihr den Anschein von Legitimität und ermöglicht es ihr, keine Alarme auszulösen, während sie sich darauf vorbereitet, die Abwehr des Systems zu untergraben. Mehr zu Ablauf zeigt der Forschungsartikel. Die Angreifer kennen über 140 Treiber-Namen von Antiviren-Software und wollen diese durch einen manipulierten Treiber ersetzen.

Trellix empfiehlt die folgende BYOVD-Expertenregel, um Systeme vor Malware-Angriffen im Kernelmodus zu schützen. Durch Befolgen dieser Empfehlung können Benutzer Versuche, anfällige Treiber wie aswArPot.sys auszunutzen, effektiv blockieren und ihre Systeme vor Malware-Angriffen im Kernelmodus schützen.

Mehr bei Trellix.com

 


Über Trellix

Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.


 

Passende Artikel zum Thema

Bedeutung der Datenverschlüsselung durch NIS2, Dora & Co

Datenverschlüsselung ist gerade besonders aktuell unter anderem durch die Geschäftsführerhaftung, NIS2, DORA und das Geschäftsgeheimnis-Schutzgesetz (GeschGehG). Das Whitepaper „Die Bedeutung ➡ Weiterlesen

Darknet: 15.000 Konfigurationsdateien für FortiGate-Firewalls

In einem Darknet-Forum hat die Hackergruppe "Belsen Group" über 15.000 einzigartige Konfigurationsdateien von FortiGate-Firewalls veröffentlicht. Obwohl die Daten relativ alt ➡ Weiterlesen

Verschlüsselte Angriffe nehmen zu

Ein Anbieter von Cloud-Sicherheit veröffentlicht mit dem ThreatLabz 2024 Encrypted Attacks Report eine Analyse der neuesten Bedrohungen. Verschlüsselter Datenverkehr entwickelte ➡ Weiterlesen

Gefahr: Infektion via Outlook ohne Dateiöffnung

Auch das BSI warnt: Durch eine kritische Schwachstelle ist es möglich, dass eine via Outlook empfangene E-Mail mit einem gefährlichen ➡ Weiterlesen

Cyberbedrohungen: Schädliche Dateien um 14 Prozent gestiegen

Auf 2024 zurückblickend, zeigt sich Folgendes: Vor allem Windows-Rechner sind das Ziel von Cyberbedrohungen. Angriffe durch Trojaner stiegen um 33 ➡ Weiterlesen

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen