BlackCat-Ransomware nutzt signierte Windows-Kernel-Treiber aus
Trend Micro hat Einzelheiten über einen Ransomware-Angriff bekannt gegeben, bei dem der ALPHV/BlackCat-Virus eingesetzt wurde. Bei dem Angriff wurde eine ausgeklügelte Technik verwendet, bei der signierte bösartige Windows-Kernel-Treiber zum Einsatz kamen, so dass die Angreifer die Erkennung umgehen und ihren bösartigen Code ausführen konnten.
Die Angreifer hinter dem Angriff nutzten eine aktualisierte Version der Malware, die bereits im Dezember 2022 von Mandiant, Sophos und Sentinel One identifiziert wurde. Um in die Zielsysteme einzudringen, versuchten die Angreifer, einen bekannten Treiber namens ktgn.sys auszunutzen, der mit Hilfe von Microsoft Signing Gateways signiert worden war. Auf diese Weise erhielten sie Zugriff auf das Betriebssystem und konnten die Funktionen der Abwehrprodukte effektiv ausschalten.
Obwohl sein Zertifikat widerrufen wurde, konnte der signierte Treiber ktgn.sys weiterhin auf 64-Bit-Windows-Computern ausgeführt werden. Da der Treiber ohne Hindernisse ausgeführt werden konnte, stellte dies ein großes Risiko für die betroffenen Systeme dar. Der Kernel-Treiber verfügte außerdem über eine IOCTL-Schnittstelle, die es dem bösartigen Benutzer-Agenten tjr.exe ermöglichte, Anweisungen mit Kernel-Rechten zu erteilen. Zur Sicherheit wurde der Benutzer-Agent tjr.exe in einer virtuellen Maschine ausgeführt und installierte den Treiber mit der Bezeichnung "ktgn" in das temporäre Verzeichnis des Benutzers. Der Treiber wurde so eingestellt, dass er als "System" ausgeführt wird, um sicherzustellen, dass er beim Neustart des Systems ausgeführt wird.
Der bösartige Treiber verwendete den Safengine Protector v2.4.0.0, um seinen Code zu verschleiern, was die Analyse und Erkennung weiter erschwerte. Dies erschwerte die etablierten Methoden zur Analyse und Erkennung des Treibers. Den Untersuchungen von Mandiant zufolge deutet die Verwendung einer aktualisierten Version dieses Treibers auch auf eine Verbindung zwischen der Ransomware-Bande und den Organisationen UNC3944/Scattered Spider hin, die beide zuvor einen Vorläufer desselben Treibers für ihre Angriffe verwendet hatten.
Die Forscher stellten jedoch fest, dass sich der Treiber noch in der Entwicklungs- und Testphase befand, mit einer schlechten Struktur und wichtigen Funktionen, die noch nicht einsatzbereit waren. Trotz dieser Einschränkungen verschafft sich die Bedrohung nach wie vor Zugriff mit hohen Berechtigungen auf das Windows-Betriebssystem und umgeht Endpunkt-Schutzplattformen (EPP) sowie Endpunkt-Erkennungs- und Reaktionssysteme (EDR).
Da Sicherheitslösungen einen verbesserten Schutz bieten, wenden sich Angreifer in der Regel der Ausnutzung der Kernel-Ebene oder niedrigerer Ebenen zu, um die effektive Ausführung ihres bösartigen Codes zu gewährleisten. Daher ist zu erwarten, dass Rootkits und damit verbundene Angriffe auch in naher Zukunft wichtige Bestandteile der Toolkits von Bedrohungsakteuren sein werden.
Zu den Quellen für diesen Beitrag gehört ein Artikel in SecurityAffairs.