Ransomware legt mit veraltetem Gigabyte-Treiber Viren-Scanner lahm
Sicherheitsforscher haben eine neue Methode beobachtet, wie Angreifer den Weg für eine Infektion mit einem Erpressungstrojaner freimachen.
Der für Windows-PCs geschriebene Verschlüsselungstrojaner RobbinHood fliegt unter dem Radar von Antiviren-Software, um Computer zu befallen. Das ist an sich nicht neu, aber die Art und Weise wie das funktioniert, hat es bislang noch nicht gegeben.
Um Prozesse von AV-Software zu deaktivieren, setzt RobbinHood als Ausgangspunkt auf einen veralteten Kernel-Treiber inklusive Sicherheitslücke vom Hardware-Hersteller Gigabyte. Die Lücke (CVE-2018-19320) ist seit 2018 bekannt. Gigabyte versicherte zu der Zeit aber, dass der Treiber nicht verwundbar sei. Ruderte dann aber zurück, hielt es aber nicht für nötig, ihn zu patchen. Sie benutzten den Treiber einfach nicht mehr. Dieser fliegt jedoch bis heute im Internet herum, berichten Sicherheitsforscher von Sophos in einer Meldung.
Mehrstufiger Angriffsplan
Problematisch ist, dass Windows dem von Verisign signierten Treiber immer noch vertraut. Das haben sich die Macher von RobbinHood zunutze gemacht und folgende Angriffskette aufgebaut: Gelangt die RobbinHood-Payload auf einen Computer, installieren die Angreifer den legitimen Kernel-Treiber. Dann nutzen sie die Lücke aus und erlangen so Kernel-Zugriff. Anschließend deaktivieren die Angreifer vorübergehend die Singnaturüberprüfung von Windows.
In diesem Systemzustand können sie ohne Probleme ihren eigenen unsignierten Kernel-Treiber installieren, der dann Sicherheitssoftware deaktiviert. Damit haben sie den Weg für ihre Ransomware geebnet. Nach der Installation beginnt RobbinHood Daten zu verschlüsseln und Lösegeld einzufordern. In ihrem Bericht führen die Sicherheitsforscher im Detail aus, wie die Infektionskette funktioniert.
Wie kann man sich schützen?
Da die Angreifer quasi eine Sicherheitslücke mitbringen, um Systeme zu infizieren, kann man sich vor einer derartigen Attacke schwieriger schützen. Es bleibt zu hoffen, dass AV-Software möglichst frühzeitig die gesamte RobbinHood-Payload als gefährlich einstuft und an der Ausführung hindert.
Man sollte aber noch einen Schritt früher ansetzen und die Payload erst gar nicht auf Computer lassen. In der Regel hängen Erpressungstrojaner als Dateianhang an oft gut gemachten Betrüger-Mails. Von diesen sollte man sich nicht hinters Licht führen lassen und den Anhang erst gar nicht speichern, geschweige denn öffnen. (des)