Home » News » Cybersecurity » 100 schädliche Treiber entdeckt, die vom Microsoft WHCP signiert wurden

100 schädliche Treiber entdeckt, die vom Microsoft WHCP signiert wurden

Die Entdeckung von 133 bösartigen Treibern, die mit legitimen digitalen Zertifikaten signiert sind, darunter 100 vom renommierten Microsoft Windows Hardware Compatibility Publisher (WHCP), ist äußerst alarmierend. Da Windows-Systeme grundsätzlich den von WHCP signierten Treibern vertrauen, können Angreifer sie installieren, ohne Alarm auszulösen, und dann ungestört böswillige Aktivitäten durchführen.

1 Min. Lesezeit
System hacked alert after cyber attack on computer network. compromised information concept. internet virus cyber security and cybercrime. hackers to steal the information is a cybercriminal

Besonders besorgniserregend sind die sogenannten „EDR-Killer“ unter den entdeckten Treibern. Diese wurden speziell entwickelt, um verschiedene EDR/AV-Software auf den Systemen der Opfer anzugreifen und zu deaktivieren. Es handelt sich um eine Weiterentwicklung ähnlicher Treiber, die bereits im Dezember 2022 von Sophos X-Ops entdeckt wurden. Die übrigen Treiber, von denen 32 von WHCP signiert waren, waren Rootkits. Diese Programme wurden entwickelt, um heimlich vertrauliche Daten zu überwachen, die über das Internet gesendet werden. Nach der Entdeckung meldete X-Ops die bösartigen Treiber sofort an Microsoft, und die Probleme wurden mit dem letzten Patch Tuesday behoben.

Weitere Einzelheiten zu dieser Untersuchung finden sich in einem Blog-Artikel von X-Ops. Dieser Artikel ist eine Fortsetzung eines Beitrags aus dem Dezember 2022, in dem Sophos, Mandiant und SentinelOne über die Signierung mehrerer Treiber durch Microsoft berichteten. Diese Treiber hatten es speziell auf eine breite Palette von AV/EDR-Software abgesehen.

Christopher Budd, Director Threat Research bei Sophos X-Ops, äußerte sich besorgt über die aktuelle Entwicklung: „Seit Oktober letzten Jahres beobachten wir einen beunruhigenden Anstieg von Aktivitäten krimineller Gruppen, die bösartig signierte Treiber ausnutzen, um verschiedene Cyberangriffe, einschließlich Ransomware, durchzuführen. Wir hatten damals vermutet, dass Angreifer diesen Angriffsvektor weiterhin nutzen würden, und dies hat sich nun bewahrheitet. Da Treiber häufig mit dem Kern des Betriebssystems kommunizieren und vor der Sicherheitssoftware geladen werden, können sie bei Missbrauch besonders effektiv sein, insbesondere wenn sie von einer vertrauenswürdigen Autorität signiert sind.

Viele der von uns entdeckten bösartigen Treiber wurden speziell entwickelt, um EDR-Produkte anzugreifen und auszuschalten, was die betroffenen Systeme für eine Reihe bösartiger Aktivitäten anfällig macht. Es ist schwierig, eine Signatur für einen bösartigen Treiber zu erkennen, daher setzen fortgeschrittene Bedrohungsakteure diese Technik bei gezielten Angriffen ein. Darüber hinaus sind diese speziellen Treiber nicht auf einen bestimmten Hersteller beschränkt, sondern zielen auf eine breite Palette von EDR-Software ab. Aus diesem Grund müssen alle IT-Sicherheitsteams sich mit dieser Problematik auseinandersetzen und bei Bedarf zusätzliche Schutzmaßnahmen implementieren. Es ist wichtig, dass Unternehmen die Patches implementieren, die von Microsoft am Patch Tuesday bereitgestellt werden.“

 

Andere interessante News

Rotes Ausrufezeichen vor dunklen Dateisymbolen

Neuer Threat Report analysiert die Rolle von ERP-Kompromittierung bei Ransomware

Ein aktueller Report belegt wachsendes cyberkriminelles Interesse an ERP-Schwachstellen und deren Ausnutzung für Ransomware-Attacken und Datenschutzverletzungen. Angeblich hat sich Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 Prozent erhöht.

Compliance-Regeln: Businessfrau arbeitet am Tablet

Wie die Blockchain die Compliance von DMS pusht

Wo der Schutz sensibler Informationen höchste Priorität hat, gewinnt die Integration von Blockchain-Technologie in Dokumentenmanagement-Systeme (DMS) an Bedeutung. Diese Entwicklung markiert einen Schritt hin zu sicherer und rechtskonformer Datenverwaltung.

Botnet

Jahrzehntelange rumänische Botnet-Operation aufgedeckt

Sicherheitsforscher haben eine komplexe und langjährige Botnetz-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens RUBYCARP betrieben wird. Diese Operation ist vermutlich bereits seit mindestens zehn Jahren aktiv. Diese Entdeckung beleuchtet eine langanhaltende Kampagne, bei der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden.