Sophos X-Ops hat 133 bösartige Treiber entdeckt, die mit legitimen digitalen Zertifikaten signiert sind; 100 davon wurden vom Microsoft Windows Hardware Compatibility Publisher (WHCP) signiert. Den von WHCP signierten Treibern vertraut jedes Windows-System grundsätzlich, sodass Angreifer sie installieren können, ohne Alarm auszulösen und anschließend praktisch ungehindert böswillige Aktivitäten ausführen können.

Bei vielen der gefundenen Treiber (81) handelte es sich um sogenannte „EDR-Killer“, die speziell dafür entwickelt wurden, verschiedene EDR/AV-Software auf den Systemen der Opfer anzugreifen und zu beenden. Diese Treiber ähneln den bereits im Dezember 2022 von Sophos X-Ops entdeckten Treibern. Die restlichen Treiber – 32 davon wurden von WHCP signiert – waren Rootkits. Viele dieser Programme wurden entwickelt, um vertrauliche Daten, die über das Internet gesendet werden, heimlich zu überwachen. X-Ops hat die bösartigen Treiber nach der Entdeckung umgehend an Microsoft gemeldet und die Probleme wurden mit dem letzten Patch Tuesday behoben.

Alle Details zu der Untersuchung gibt es im englischsprachigen X—Ops-Blog-Artikel. Dieser Beitrag ist eine Fortsetzung eines Beitrags vom Dezember 2022, in dem Sophos, Mandiant und SentinelOne über die Signierung mehrerer Treiber durch Microsoft berichteten. Diese Treiber zielten speziell auf eine breite Palette von AV/EDR-Software ab.

Christopher Budd, Director Threat Research bei Sophos X-Ops, über die aktuelle Entwicklung:
„Seit Oktober letzten Jahres beobachten wir einen besorgniserregenden Anstieg von Aktivitäten durch Kriminelle, die böswillig signierte Treiber ausnutzen, um verschiedene Cyberangriffe, einschließlich Ransomware, durchzuführen. Wir gingen damals davon aus, dass Angreifer diesen Angriffsvektor weiterhin ausnutzen würden, was sich nun bewahrheitet hat. Da Treiber häufig mit dem ‚Kern‘ des Betriebssystems kommunizieren und damit vor der Sicherheitssoftware geladen werden, können sie bei Missbrauch besonders wirksam bei der Deaktivierung von Sicherheitsmaßnahmen sein – insbesondere, wenn sie von einer vertrauenswürdigen Autorität signiert sind. Viele der von uns entdeckten bösartigen Treiber wurden speziell dafür entwickelt, EDR-Produkte anzugreifen und ‚auszuschalten‘, wodurch die betroffenen Systeme für eine Reihe bösartiger Aktivitäten anfällig werden. Es ist schwierig, eine Signatur für einen bösartigen Treiber zu erhalten, daher wird diese Technik vor allem von fortgeschrittenen Bedrohungsakteuren bei gezielten Angriffen eingesetzt. Darüber hinaus sind diese speziellen Treiber nicht herstellerspezifisch, sie zielen auf eine breite Palette von EDR-Software ab. Aus diesem Grund müssen sich alle IT-Security-Teams mit dem Thema auseinandersetzen und bei Bedarf zusätzliche Schutzmaßnahmen implementieren. Es ist wichtig, dass Unternehmen, die am Patch Tuesday von Microsoft bereitgestellten Patches implementieren.“

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Ariane Wendt
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel