Ransomware: Einbrecher deaktivieren Virenschutz mit Anti-Cheat-Treiber
Cyberkriminelle deaktivieren den Virenschutz mit einem verwundbaren und signierten Anti-Cheat-Treiber eines Spiels. Das ist jedoch gar nicht installiert.
(Bild: Pixels Hunter/Shutterstock.com)
Trend Micro berichtet über einen ungewöhnlichen Fund. Bei einem Ransomware-Befall haben die Einbrecher den installierten Virenschutz mithilfe eines signierten Anti-Cheat-Treibers aus einem Spiel beendet.
Signierte Treiber
Signierte Treiber lassen sich in 64-Bit-Systemen ohne Fehlermeldung im Kernel-Modus laden, also mit höchsten Zugriffsrechten im System. So auch der Treiber mhyprot2.sys zum Schutz vor unerwünschten Schummelmaßnahmen durch Spieler des populären Spiels Genshin Impact.
Cyberkriminelle missbrauchen mhyprot als Rootkit, um trotz eigener eingeschränkter Rechte mit höchsten Rechten im System Prozesse und Dienste von Antivirensoftware zu beenden. Trend Micros Bericht zufolge machen sie das, um ihre Ransomware massenhaft zu verteilen. Die Treiberdatei können Angreifer einfach selbst mitbringen. Um die Funktionen des Treibers zu nutzen, muss das Spiel nicht installiert sein.
Im konkreten Fall haben die Einbrecher auf unbekannte Art und Weise Zugriff auf das Netzwerk erhalten. Mit einem gekaperten Administratorkonto haben sie eine Datei kill_svc.exe sowie mhyprot2.sys auf den Domänencontroller geschoben. kill_svc installierte den mhyprot-Dienst und hat damit Virenschutz-Dienste beendet. Daraufhin haben die Angreifer noch weitere Dateien in das Netlogon-Verzeichnis kopiert und ausgeführt. Trend Micros Bericht erläutert detailliert, wie die Einbrecher weitere Dienste dergestalt beenden wollten.
Grundsätzlich laden die Angreifer jedoch den Treiber mhyprot und versuchen, eine Liste an Prozessen zu beenden.
(Bild: Trend Micro)
Hat der steuernde Prozess (kill_svc.exe oder später HelpPane.exe) einen der Prozesse gefunden, sendet er via DeviceIoControl-Anweisung den Code 0x81034000 an mhyprot, um den Treiber zum Beenden des Prozesses zu veranlassen.
Der konkret eingesetzte Treiber stammt noch aus dem Jahr 2020. Laut Trend Micro geriet er bereits in der Vergangenheit in Gaming-Foren in die Diskussion, da er nach der Deinstallation des Spiels im System verblieb und weil er das Umgehen von Rechteeinschränkungen ermöglichte.
Problematische Treiber
Im Web-Archiv findet sich noch eine Kopie der Seite von Kento Oki, der die Sicherheitslücke im Treiber konkret beschreibt und einen Proof-of-Concept programmiert hat, der das Problem vorführt. Auf GitHub sind auch noch die Quellcodes verfügbar.
mhyprot stellt eine Reihe von sogenannten IOCTLs (Systemaufrufe für gerätespezifische Ein- und Ausgabeoperationen) bereit, die dem User-Mode nicht zugreifbar sein sollten. So könne der Treiber virtuellen Kernel-Speicher kopieren, was zu unbefugtem Informationsabfluss führen könne, zu Rechteausweitung im System und zu einem Denial-of-Service, erläutert Oki.
Der Treiber ermöglicht das Lesen beliebigen Kernel- und Prozessspeichers, Schreiben beliebigen Prozessspeichers, Erhalten beliebiger Prozess-Module und -Threads, Auslesen der System-Uptime und das Beenden beliebiger Prozesse. Und zwar mit Nutzerrechten.
Zertifikat zurückziehen?
Wenn ein Treiber, wie in diesem Fall, die eingeschränkten Benutzerrechte umgehbar macht und Kernel-Mode-Zugriff erlaubt, ist das ein Sicherheitsproblem. Der Treiber wurde mit einem gültigen Schlüssel signiert. Den zurückzuziehen, ist dann sinnvoll und machbar, wenn der private Schlüssel gestohlen und etwa zum Signieren von Malware missbraucht wurde – das ist hier jedoch nicht der Fall, erörtert Trend Micro. Eine legitime Datei wird lediglich missbraucht – die Signatur bleibt vorerst gültig.
Administratoren könnten ihre Systeme auf die bekannten anfälligen Treiberdateien untersuchen und diese löschen. Einige Schutzlösungen bieten an, Dateien etwa anhand von Hashwerten zu blockieren – das wäre eine weitere Möglichkeit, den Missbrauch der Treiber zu unterbinden. Ein Repository auf GitHub sammelt bekannte Treiberdateien, die Zugriff auf den Speicher ermöglichen. mhyprot2.sys findet sich dort ebenfalls. Damit können IT-Verantwortliche etwa den eingesetzten Virenschutz trainieren und sie als unerwünschte Dateien angeben.
Themenseite zu Ransomware auf heise online
(dmk)
