ClickCease BlackCat-Ransomware nutzt signierte Windows-Kernel-Treiber aus

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

BlackCat-Ransomware nutzt signierte Windows-Kernel-Treiber aus

von

12. Juni 2023. TuxCare PR Team

Trend Micro hat Einzelheiten über einen Ransomware-Angriff bekannt gegeben, bei dem der ALPHV/BlackCat-Virus eingesetzt wurde. Bei dem Angriff wurde eine ausgeklügelte Technik verwendet, bei der signierte bösartige Windows-Kernel-Treiber zum Einsatz kamen, so dass die Angreifer die Erkennung umgehen und ihren bösartigen Code ausführen konnten.

Die Angreifer hinter dem Angriff nutzten eine aktualisierte Version der Malware, die bereits im Dezember 2022 von Mandiant, Sophos und Sentinel One identifiziert wurde. Um in die Zielsysteme einzudringen, versuchten die Angreifer, einen bekannten Treiber namens ktgn.sys auszunutzen, der mit Hilfe von Microsoft Signing Gateways signiert worden war. Auf diese Weise erhielten sie Zugriff auf das Betriebssystem und konnten die Funktionen der Abwehrprodukte effektiv ausschalten.

Obwohl sein Zertifikat widerrufen wurde, konnte der signierte Treiber ktgn.sys weiterhin auf 64-Bit-Windows-Computern ausgeführt werden. Da der Treiber ohne Hindernisse ausgeführt werden konnte, stellte dies ein großes Risiko für die betroffenen Systeme dar. Der Kernel-Treiber verfügte außerdem über eine IOCTL-Schnittstelle, die es dem bösartigen Benutzer-Agenten tjr.exe ermöglichte, Anweisungen mit Kernel-Rechten zu erteilen. Zur Sicherheit wurde der Benutzer-Agent tjr.exe in einer virtuellen Maschine ausgeführt und installierte den Treiber mit der Bezeichnung "ktgn" in das temporäre Verzeichnis des Benutzers. Der Treiber wurde so eingestellt, dass er als "System" ausgeführt wird, um sicherzustellen, dass er beim Neustart des Systems ausgeführt wird.

Der bösartige Treiber verwendete den Safengine Protector v2.4.0.0, um seinen Code zu verschleiern, was die Analyse und Erkennung weiter erschwerte. Dies erschwerte die etablierten Methoden zur Analyse und Erkennung des Treibers. Den Untersuchungen von Mandiant zufolge deutet die Verwendung einer aktualisierten Version dieses Treibers auch auf eine Verbindung zwischen der Ransomware-Bande und den Organisationen UNC3944/Scattered Spider hin, die beide zuvor einen Vorläufer desselben Treibers für ihre Angriffe verwendet hatten.

Die Forscher stellten jedoch fest, dass sich der Treiber noch in der Entwicklungs- und Testphase befand, mit einer schlechten Struktur und wichtigen Funktionen, die noch nicht einsatzbereit waren. Trotz dieser Einschränkungen verschafft sich die Bedrohung nach wie vor Zugriff mit hohen Berechtigungen auf das Windows-Betriebssystem und umgeht Endpunkt-Schutzplattformen (EPP) sowie Endpunkt-Erkennungs- und Reaktionssysteme (EDR).

Da Sicherheitslösungen einen verbesserten Schutz bieten, wenden sich Angreifer in der Regel der Ausnutzung der Kernel-Ebene oder niedrigerer Ebenen zu, um die effektive Ausführung ihres bösartigen Codes zu gewährleisten. Daher ist zu erwarten, dass Rootkits und damit verbundene Angriffe auch in naher Zukunft wichtige Bestandteile der Toolkits von Bedrohungsakteuren sein werden.

Zu den Quellen für diesen Beitrag gehört ein Artikel in SecurityAffairs.

Zusammenfassung
BlackCat-Ransomware nutzt signierte Windows-Kernel-Treiber aus
Artikel Name
BlackCat-Ransomware nutzt signierte Windows-Kernel-Treiber aus
Beschreibung
Trend Micro hat einen Ransomware-Angriff aufgedeckt, bei dem der ALPHV/BlackCat-Virus mit signierten bösartigen Windows-Kernel-Treibern eingesetzt wurde.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!