Check Point Software Technologies GmbH
Anfällige Treiber entlarven Hacking-Kampagne
Check Point Software Technologies kam ein Hacking-Kampagne auf die Schliche, die veraltete Treiber-Versionen ausnutzte.
Cyber-Kriminelle konzentrieren sich nun darauf, Schwachstellen in Treibern auszunutzen, also Software-Komponenten, die im Kernel-Modus mit den höchsten Berechtigungen ausgeführt werden. Werden diese Treiber kompromittiert, dann bieten sie Angreifern eine gute Möglichkeit, um Sicherheitsmaßnahmen zu umgehen und weitere Attacken vorzubereiten.
Im Jahr 2015 führte Microsoft eine Richtlinie ein, die das Laden neuer Treiber verhinderte, es sei denn, sie waren signiert, um ihren Missbrauch zu verhindern. Treiber, die vor 2015 erstellt wurden, konnten jedoch weiterhin ausgeführt werden. Wie Check Point Research herausfand, nutzten Angreifer diese Schwachstelle aus und verwendeten eine ältere Version des Treibers Truesight.sys, die vor 2015 erstellt wurde. Spätere Versionen von Truesight.sys, die Teil des Cyber-Sicherheitsprodukts von Adlice sind, enthalten bekanntermaßen Schwachstellen und wurden ebenso ausgenutzt.
Die Schwachstelle führte zu einer groß angelegten Kampagne, bei der Angreifer den veralteten Treiber geringfügig modifizierten, um den Datei-Hash zu ändern, wodurch 2500 Varianten entstanden, während eine gültige digitale Signatur erhalten blieb. Dies ermöglichte es ihnen, Standarderkennungsmethoden zu umgehen, indem sie Sicherheitsprodukte auf dem Ziel-System deaktivierten. Die Malware wurde über Phishing-Kampagnen verbreitet und in der Endphase der Angriffe eingesetzt. Sie ermöglichte den Hackern die vollständige Kontrolle über die Geräte ihrer Opfer und gab ihnen unbefugten Zugang zu Daten, ermöglichte Spionage und Systemmanipulation.
Der Treiber Truesight.sys und wie er ausgenutzt werden kann
Vor einigen Monaten hat Check Point Research (CPR) eine Methode entwickelt, um nach Treibern zu suchen, die nicht als anfällig bekannt sind. Bei der Prüfung von Hunderten von Treibern, die mit dieser Methode gefunden wurden, war auf den ersten Blick etwas gefunden worden, das wie bösartiger Code des bekannten anfälligen Treibers Truesight.sys 3.4.0 aussah. Obwohl der Treiber selbst legitim ist und häufig für Sicherheitszwecke eingesetzt wird, weist er in Versionen vor 3.4.0 eine erhebliche Sicherheitslücke auf. Diese Schwachstelle ermöglicht es Angreifern, Prozesse im Benutzermodus zu beenden – ein kritischer Fehler, der ausgenutzt werden kann, um Antiviren- oder Endpoint-Detection-and-Response-Lösungen zu deaktivieren.
Weitere Untersuchungen ergaben jedoch, dass die Angreifer Truesight.sys Version 2.0.2 verwendeten. Während andere Versionen wie 3.3.0 öffentlich bekannt waren und als ausnutzbar erkannt wurden, gelang es der Version 2.0.2 über mehrere Monate hinweg, der Erkennung zu entgehen. Der Hauptgrund dafür war die Fähigkeit der Version, Microsofts Vulnerable Driver Blocklist und andere Erkennungsmechanismen, wie das LOLDrivers-Projekt, zu umgehen.
Diese veraltete Version enthielt den anfälligen Code, der es Angreifern ermöglichte, den Fehler auszunutzen und gleichzeitig der Erkennung durch moderne Blockierlisten zu entgehen – ein gewitzter Ansatz, um unentdeckt zu bleiben. Microsofts Vulnerable Driver Blocklist, die das Laden bekannter bösartiger Treiber verhindern soll, erkannte diese spezielle Version nicht. Die Angreifer wählten absichtlich die Version 2.0.2, da sie anfälligen Code enthielt und die gängigen Erkennungsmethoden für neuere Versionen umging.
Ein ausgeklügelter Ansatz, um die Erkennung zu umgehen
Um einer weiteren Entdeckung zu entgehen, verwendeten die Angreifer fortgeschrittene Techniken, um den Treiber 2.0.2 zu modifizieren und mehr als 2500 einzigartige Varianten zu erzeugen. Diese Varianten wurden durch subtile Änderungen an Teilen der Portable Executable (PE)-Struktur des Treibers erzeugt, wodurch sichergestellt wurde, dass jede Variante einen anderen Hash-Wert hatte. Trotz dieser Änderungen blieb die digitale Signatur des Treibers gültig, so dass er legitim erschien und Sicherheitskontrollen umgangen werden konnten. Auf diese Weise stellten die Angreifer sicher, dass herkömmliche, signaturbasierte Erkennungsmethoden diese Bedrohung nicht wirksam verhindern konnten. Die Angreifer gingen aber einen Schritt weiter: Die Varianten waren mit gültigen Zertifikaten signiert, so dass sie auf Systeme geladen werden konnten, ohne die meisten Sicherheitsprogramme zu alarmieren.
Diese Raffinesse zeigt, dass die Angreifer ein tiefes Verständnis für die Umgehung von Erkennungsmechanismen haben, so dass sie Sicherheitsvorkehrungen ausweichen und über längere Zeiträume auf infizierten Systemen ausharren können.
Angriffsinfrastruktur
Die Angreifer nutzten eine öffentliche Cloud-Infrastruktur in der Region China, eine Wahl, die den Angreifern wahrscheinlich mehr Kontrolle und Stabilität sowie eine mögliche Umgehung der Strafverfolgungs- und Cyber-Sicherheitsbehörden bieten sollte. Etwa 75 Prozent der kompromittierten Rechner gehörten Organisationen mit Sitz in China, die übrigen Opfer befanden sich in anderen Teilen Asiens, darunter Singapur und Taiwan.
Die Muster der ersten Phase, die als Downloader dienten, tarnten sich als bekannte Anwendungen, die häufig über Phishing-Methoden verbreitet werden, wie betrügerische Websites und Phishing-Kanäle in beliebten Messaging-Anwendungen. Ein Beispiel für eine betrügerische Website, die Besucher anzog, war eine Website, die Best-Buy-Angebote für Luxusgüter anbot.
Darüber hinaus besteht aufgrund der Ähnlichkeit der Muster im Anfangsstadium mit zuvor zugeschriebenen Kampagnen und historischen Targeting-Mustern eine mittlere bis hohe Wahrscheinlichkeit, dass diese Kampagne mit Silver Fox in Verbindung steht.
Check Point Research meldete das Problem an das Microsoft Security Response Center, das daraufhin die Microsoft Vulnerable Driver Blocklist aktualisierte und so effektiv verhinderte, dass alle Varianten des veralteten Treibers in dieser Kampagne ausgenutzt werden konnten. Im Anschluss an die Untersuchung aktualisierte Microsoft seine Liste der anfälligen Treiber, um die veraltete Version 2.0.2 des Treibers Truesight.sys am 17. Dezember 2024 hinzuzufügen. Dieses Update verhinderte wirksam, dass alle Varianten des ausgenutzten Treibers auf Windows-Systemen geladen wurden, und bot gefährdeten Benutzern einen entscheidenden Schutz.
Implikationen und Treiber-Empfehlungen
Um schwer erkennbare Bedrohungen zu stoppen, wird es immer wichtiger, über die signaturbasierte Erkennung hinauszugehen. Verhaltensanalysen, heuristische Scans und Treiberintegritätsprüfungen können dabei helfen, verdächtige Treiberaktivitäten zu erkennen, auch dann, wenn der Treiber selbst nicht auf herkömmlichen Blocklisten aufgeführt ist. Die Erkennung des Missbrauchs bekannter anfälliger Treiber ist entscheidend zur Eindämmung bekannter Bedrohungen. Ein präventiver Sicherheitsansatz soll solche Bedrohungen stoppen, indem sie erkannt und abgewehrt werden, bevor sie Ihre Umgebung gefährden können.
Die Suche nach der Ausnutzung von Treibern, die nicht als verwundbar erkannt wurden, kann außerdem zu wichtigen Durchbrüchen führen und versteckte Aktivitäten aufdecken, die monate- oder sogar jahrelang unbemerkt geblieben sind. Diese Veröffentlichung zeigt, wie forschungsbasierte, vorausschauende Erkennungsregeln versteckte Bedrohungen enttarnen können.
Hintergrund-Know-how zu der Analyse und technische Einzelheiten.
