100 schädliche Treiber entdeckt, die vom Microsoft WHCP signiert wurden
Die Entdeckung von 133 bösartigen Treibern, die mit legitimen digitalen Zertifikaten signiert sind, darunter 100 vom renommierten Microsoft Windows Hardware Compatibility Publisher (WHCP), ist äußerst alarmierend. Da Windows-Systeme grundsätzlich den von WHCP signierten Treibern vertrauen, können Angreifer sie installieren, ohne Alarm auszulösen, und dann ungestört böswillige Aktivitäten durchführen.
Besonders besorgniserregend sind die sogenannten „EDR-Killer“ unter den entdeckten Treibern. Diese wurden speziell entwickelt, um verschiedene EDR/AV-Software auf den Systemen der Opfer anzugreifen und zu deaktivieren. Es handelt sich um eine Weiterentwicklung ähnlicher Treiber, die bereits im Dezember 2022 von Sophos X-Ops entdeckt wurden. Die übrigen Treiber, von denen 32 von WHCP signiert waren, waren Rootkits. Diese Programme wurden entwickelt, um heimlich vertrauliche Daten zu überwachen, die über das Internet gesendet werden. Nach der Entdeckung meldete X-Ops die bösartigen Treiber sofort an Microsoft, und die Probleme wurden mit dem letzten Patch Tuesday behoben.
Weitere Einzelheiten zu dieser Untersuchung finden sich in einem Blog-Artikel von X-Ops. Dieser Artikel ist eine Fortsetzung eines Beitrags aus dem Dezember 2022, in dem Sophos, Mandiant und SentinelOne über die Signierung mehrerer Treiber durch Microsoft berichteten. Diese Treiber hatten es speziell auf eine breite Palette von AV/EDR-Software abgesehen.
Christopher Budd, Director Threat Research bei Sophos X-Ops, äußerte sich besorgt über die aktuelle Entwicklung: „Seit Oktober letzten Jahres beobachten wir einen beunruhigenden Anstieg von Aktivitäten krimineller Gruppen, die bösartig signierte Treiber ausnutzen, um verschiedene Cyberangriffe, einschließlich Ransomware, durchzuführen. Wir hatten damals vermutet, dass Angreifer diesen Angriffsvektor weiterhin nutzen würden, und dies hat sich nun bewahrheitet. Da Treiber häufig mit dem Kern des Betriebssystems kommunizieren und vor der Sicherheitssoftware geladen werden, können sie bei Missbrauch besonders effektiv sein, insbesondere wenn sie von einer vertrauenswürdigen Autorität signiert sind.
Viele der von uns entdeckten bösartigen Treiber wurden speziell entwickelt, um EDR-Produkte anzugreifen und auszuschalten, was die betroffenen Systeme für eine Reihe bösartiger Aktivitäten anfällig macht. Es ist schwierig, eine Signatur für einen bösartigen Treiber zu erkennen, daher setzen fortgeschrittene Bedrohungsakteure diese Technik bei gezielten Angriffen ein. Darüber hinaus sind diese speziellen Treiber nicht auf einen bestimmten Hersteller beschränkt, sondern zielen auf eine breite Palette von EDR-Software ab. Aus diesem Grund müssen alle IT-Sicherheitsteams sich mit dieser Problematik auseinandersetzen und bei Bedarf zusätzliche Schutzmaßnahmen implementieren. Es ist wichtig, dass Unternehmen die Patches implementieren, die von Microsoft am Patch Tuesday bereitgestellt werden.“