"RobbinHood" hat aufgerüstet und macht sich im Windows-Kernel breit
ID: 1791120
Ransomware nutzt Hardwaretreiber mit Schwachstellen und entfernt Sicherheitssoftware
Der signierte Treiber als Ausgangspunkt der Attacke ist Teil eines inzwischen veralteten Softwarepakets, das vom taiwanesischen Motherboard Hersteller Gigabyte veröffentlicht wurde, und hat eine bekannte Schwachstelle (CVE-2018-19320).
Die im Jahr 2018 veröffentliche Verwundbarkeit wurde auf zahlreichen Plattformen publik gemacht, allerdings gleichzeitig vom Hersteller als irrelevant bezeichnet, da dessen Produkte angeblich nicht von den gemeldeten Sicherheitsanfälligkeiten betroffen seien. Das Unternehmen widerrief diese Aussage später und hat die Verwendung des anfälligen Treibers eingestellt. Allerdings ist die Software weiterhin über inoffizielle Kanäle im Umlauf und scheinbar eine reale Bedrohung. Umso mehr, da weder Microsoft noch Verisign, deren Codesignierungsmechanismen zum digitalen Signieren des Treibers verwendet wurde, die Zertifikate widerrufen haben, sodass diese weiterhin gültig sind. So können die Kriminellen im aktuellen Angriffsszenario den Gigabyte-Treiber als Türöffner verwenden, um einen weiteren, nicht signierten Treiber ins Windows-System einzuspeisen. Diese schadhafte Komponente beendet auf Kernel-Ebene unter Umgehung des Manipulationsschutzes Prozessen und Dateien, die zu Endpoint-Sicherheitsprodukten gehören, um die Basis für den dann folgenden Ransomware-Angriff zu liefern. Bislang war noch keine vollständig böswillige Verwendung des Treibers bekannt, allerdings wurde dessen Schwachstelle in den letzten Jahren u.a. dazu genutzt, um Antibetrugsmechanismen in Online-Spielen auszuhebeln.
?Dies ist das erste Mal, dass wir Ransomware beobachten, die einen von Microsoft mitsignierten und dennoch anfälligen Treiber nutzt, um den Windows Kernel direkt im Speicher zu überschreiben, einen eigenen, nicht signierten Treiber zu laden und dann Sicherheitsanwendungen aus dem Kernel zu entfernen?, so Michael Veit, IT-Security-Experte bei Sophos. ?Die von den SophosLabs in beiden Fällen aufgedeckte Ransomware nennt sich selbst RobbinHood und hat bereits Ende letzten Jahres für Schlagzeilen gesorgt. Bei Sophos haben wir zum Schutz vor der Attacke den ungewöhnlichen Schritt unternommen, die anfällige Gigabyte-Treiberdatei gdrv.sys als bösartig zu klassifizieren, wenn sie im Kontext dieses Angriffs installiert wird. Dazu gehört die Verwendung mit den Pfaden desktop\robin\gdrv.sys oder \windows\temp\gdrv.sys.?
Detaillierte Informationen zu der neuen Hacking-Technik gibt es im englischsprachigen Blogartikel der SophosLabs:
https://news.sophos.com/en-us/2020/02/06/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software/
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: PresseBox
Datum: 06.02.2020 - 17:41 Uhr
Sprache: Deutsch
News-ID 1791120
Anzahl Zeichen: 3587
Kontakt-Informationen:
Stadt:
Wiesbaden
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 710 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
""RobbinHood" hat aufgerüstet und macht sich im Windows-Kernel breit"
steht unter der journalistisch-redaktionellen Verantwortung von
Sophos Technology GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun
Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit
Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru
Weitere Mitteilungen von Sophos Technology GmbH
CORONAVIRUS (2019-nCoV): Desinfektion und Hygienemaßnamen ...
Die Nachfrage nach effektiven Präventionsmaßnahmen und wirksamen Desinfektionsmitteln angesichts des neuartigen Coronavirus (2019-nCoV) steigt ? nicht zuletzt durch die ersten Infektionsfälle in Deutschland und Europa. Der Industrieverband Hygiene und Oberflächenschutz (IHO) bietet mit der koste
Die neuen Tecra A40-E-Modelle von dynabook: Ausdauer in der Business-Klasse ...
. Maximal vernetzt durch umfassende Konnektivitätsfeatures Attraktives Qualitätsversprechen mit der Reliability Guarantee Schnellladefunktion: In 30 Minuten vier weitere Stunden Akkulaufzeit Die Dynabook Europe GmbH komplettiert ihr Notebook-Portfolio um zwei Konfigurationen der Tecra A40-E-Serie.
KUMO V? Digital Signage PC mit Nvidia RTX 2060 ...
Turing für Künstliche Intelligenz Das neue Modell der beliebten KUMO-Serie punktet wie gewohnt mit einer dedizierten Grafikkarte: einer Nvidia GeForce RTX 2060 mit 6GB integriertem GDDR6-Speicher und 1920 CUDA Cores. Dank Nvidias Turing-Architektur bietet der Mini-PC Echtzeit-Raytracing, KI-Rechen
Das erwartet uns 2020 im Bereich Automation ...
Immer mehr Unternehmen werden in RPA investieren Zugegeben, diese These ist nicht sonderlich gewagt. Alle Prognosen und Voraussagen der Experten und Unternehmensberatungen zeigen deutlich in dieselbe Richtung. Robotic Process Automation wird 2020 und auch in den Folgejahren immer wichtiger werden u




