Hasta La Vista, Baby
ID: 2085870
Das Terminator-Tool und seine Varianten haben noch lange nicht ausgedient
BYOVD (Bring Your Own Vulnerable Driver) stehen als EDR-Killer bei Bedrohungsakteuren nach wie vor hoch im Kurs. Ein Grund ist, dass hiermit ein Angriff auf Kernel-Ebene in Aussicht steht, was den Cyberkriminellen ein breites Spektrum an Handlungsmöglichkeiten einräumt – vom Verstecken von Malware über das Ausspähen von Anmeldedaten bis hin zum Versuch, die EDR-Lösungen zu deaktivieren. Die Sophos Security-Spezialisten Andreas Klopsch und Matt Wixey haben das Geschehen mit den Terminator-Tools während der letzten sechs Monate genau unter die Lupe genommen und im ausführlichen Report „It’ll be back: Attackers still abusing Terminator tool and variants„ zusammengefasst.
Treiber-Schleusereien sind keine Frage des cyberkriminellen Könnens mehr
BYOVD ist eine Angriffsklasse, bei der Bedrohungsakteure bekannte und zugleich anfällige Treiber auf einen kompromittierten Computer einschleusen, um Rechte auf Kernel-Ebene zu erlangen. Bei der Wahl von anfälligen Treibern haben die Cyberkriminellen leichtes Spiel: Beispielsweise auf dem Open-Source-Repository loldrivers.io sind 364 Einträge für anfällige Treiber inklusive entsprechender Signaturen und Hashes aufgeführt. Dieses bequeme Identifizieren von geeigneten Treibern ist einer der Gründe, weshalb BYOVD-Angriffe heute nicht nur hoch professionellen Bedrohungsakteuren vorbehalten sind, sondern auch von weniger versierten Ransomware- Angreifern durchgeführt werden können.
Ein weiterer möglicher Grund für die anhaltende Beliebtheit von BYOVD bei technisch weniger kompetenten Cyberkriminellen ist die Tatsache, dass sie die benötigten Kits und Tools quasi von der Stange in kriminellen Foren erwerben können. Eines dieser Tools erregte im Mai 2023 besondere Aufmerksamkeit, als der bekannte Bedrohungsakteur “spyboy“ im russischsprachigen Ransomware-Forum RAMP ein Tool namens Terminator anbot. Das Tool sollte zwischen 300 USD und 3.000 USD kosten und vierundzwanzig Sicherheitsprodukte deaktivieren können.
So können sich Unternehmen schützen
Viele der Security-Anbieter auf der Liste von spyboy, darunter auch Sophos, haben umgehend gehandelt, um Varianten von Treibern zu untersuchen und Schutzmaßnahmen zu entwickeln. Sophos empfiehlt vier wichtige Schritte, um sich vor BYOVD-Attacken zu schützen:
Prüfen, ob das Endpoint Security-Produkt einen Manipulationsschutz implementiert hat.
Umsetzung einer strengen Hygiene bei den Windows-Sicherheitsrollen, da BYOVD-Angriffe in der Regel durch Privilegienerweiterung und der Umgehung der UAC ermöglicht wird.
Alle Betriebssysteme und Anwendungen stets auf dem neuesten Stand halten sowie das Entfernen von älterer Software.
Aufnahme anfälliger Treiber in das Programm zum Schwachstellenmanagement. Bedrohungsakteure könnten versuchen, anfällige legitime Treiber auszunutzen, die bereits auf einem angegriffenen System vorhanden sind.
Zum kompletten Report von Sophos geht es hier:
https://news.sophos.com/en-us/2024/03/04/itll-be-back-attackers-still-abusing-terminator-tool-and-variants/
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Datum: 07.03.2024 - 09:35 Uhr
Sprache: Deutsch
News-ID 2085870
Anzahl Zeichen: 3858
Kontakt-Informationen:
Ansprechpartner: Jörg SchindlerArno LüchtThilo ChristAriane WendtUlrike Masztalerz
Stadt:
Wiesbaden
Telefon: +49 (721) 25516-263+49 (8081) 954619+49 (8081) 954
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 273 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Hasta La Vista, Baby"
steht unter der journalistisch-redaktionellen Verantwortung von
Sophos Technology GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun
Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit
Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru
Weitere Mitteilungen von Sophos Technology GmbH
FonePaw Mac Datenrettung: Verlorene Daten einfach wiederherstellen ...
Mit großer Begeisterung hat FonePaw kürzlich eine neue Funktion seiner Datenrettungssoftware, FonePaw Mac Datenrettung, auf den Markt gebracht. Mit FonePaw Mac Datenrettung hebt FonePaw die Datenwiederherstellung auf ein neues Niveau, so dass die gute Erfahrung der Datenwiederherstellung einfach u
Warum Sie Zebra Etikettendrucker bei COSYS kaufen sollten ...
Erfahren Sie in diesem Blogartikel, welche Vorteile die Zebra Etikettendrucker für Ihr Unternehmen bieten und warum sie die Kosten senken können. Entdecken Sie die vielfältigen Anwendungsmöglichkeiten in verschiedenen Branchen und überzeugen Sie sich von der hohen Druckqualität und Zuverlässi
Neue CAPTCHA-Technologie ...
Hamburg, 06.03.2024 Neue Captcha-Technologie: POWER CAPTCHA ist einfach anzuwenden und schützt Formulare und Login-Bereiche nicht nur gegen Bots sondern auch gegen Hacker. Dabei müssen Anwender:innen einen Wert im Hintergrund eines Bildes erkennen und den dazu passenden Lösungswert im Vordergr
Mit dem Simplifier Dateien in Erklärvideos verwandeln ...
6. März 2024 - Die Erklärvideo-Plattform simpleshow ist bekannt für die einfache Erstellung von Erklärvideos mit hochautomatisierter Text-to-Video-Technologie. Die neue "Simplifier"-Funktion ermöglicht es Nutzern, eine Vielzahl von Inhalten - Dokumente, Präsentationen, längere Texte
