RobinHood Ransomware schießt über Gigabyte-Treiber AV ab

[English]Sicherheitsspezialisten von Sophos haben zwei RobinHood Ransomware-Angriffe analysiert und festgestellt, dass diese einen veralteten Gigabyte-Treiber verwenden, um installierte Antivirus-Software lahm zu legen. Anschließend startet der Angriff zur Verschlüsselung.


Anzeige

Der nachfolgende Tweet von SophosLabs verweist auf den Originalartikel, und Bleeping Computer hat es hier aufgegriffen.

Alter Gigabyte-Treiber als Schwachstelle

Ein signierter, inzwischen aber veralteter (Grafik-)Treiber (ist Teil eines Softwarepakets) des taiwanesischen Motherboard-Herstellers Gigabyte weist eine seit 2018 bekannte Schwachstelle CVE-2018-19320 auf.

The GDrv low-level driver in GIGABYTE APP Center v1.05.21 and earlier, AORUS GRAPHICS ENGINE before 1.57, XTREME GAMING ENGINE before 1.26, and OC GURU II v2.08 exposes ring0 memcpy-like functionality that could allow a local attacker to take complete control of the affected system.

Das Softwarepaket mit dem Treiber ist zwar veraltet. Aber weder Microsoft noch Verisign, deren Code-Signatur-Mechanismus zur digitalen Signatur des Treibers verwendet wurde, haben das Signatur-Zertifikat widerrufen, so dass die Authenticode-Signatur weiterhin gültig ist.


Anzeige

Angriff über den Treiber

In den beobachten Fällen  haben die Cyber-Kriminellen hinter der RobinHood-Ransomware den Gigabyte-Treiber als Hebel benutzt, um einen zweiten, nicht signierten Treiber in Windows zu laden. Dieser zweite Treiber versucht dann, Prozesse und Dateien von Endpunkt-Sicherheitsprodukten (Antivirus-Software) zu killen. Damit kann der Manipulationsschutz dieser Pakete umgangen werden, und die Ransomware ist frei, die Verschlüsselung der Dateien vorzunehmen. Anschließen wird die RobinHood Ransomware-Meldung eingeblendet.

RobinHood Ransomware-Meldung
(RobinHood Ransomware-Meldung, Quelle: Sophos)

Die Sophos-Sicherheitsforscher schreiben, dass es das erste Mal  ist, dass Ransomware beobachtet wurde, die einen von Microsoft mitsignierten (aber anfälligen) Treiber eines Drittanbieters ausliefern, um den Windows-Kernel im Speicher zu patchen, ihren eigenen unsignierten bösartigen Treiber zu laden und Sicherheitsanwendungen aus dem Kernelbereich zu entfernen. In beiden analysierten Fällen wurde die RobbinHood-Ransomware gefunden.

Windows-Viren-/Ransomware-Schutz ausgehebelt

Die Sicherheitsforscher haben vor kurzem gesehen, wie die RobbinHood-Ransomware-Familie Dateien ohne Behinderung durch Endpunktschutzsoftware verschlüsseln konnte. Der Installer der Ransomware unterwandert über den Treiber erfolgreich den Kernelspeicher von Windows 7, Windows 8 und Windows 10. Dann wird eine Datei mit dem Namen STEEL.EXE auf dem System ausgeführt.

Diese extrahiert eine Reihe an weiteren Dateien in den Ordner C:\WINDOWS\TEMP. Im Anschluss werden die entpackten Dateien gestartet, die dann einen Treiber mit einer Schwachstelle installieren und die Prozesse der Virenscanner abschießen. Die Details werden in diesem Sophos-Artikel aufbereitet. Wer also mit alter Gigabyte-Hardware unterwegs ist, sollte schauen, ob der Treiber eventuell noch unter Windows installiert ist.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu RobinHood Ransomware schießt über Gigabyte-Treiber AV ab

  1. 1ST1 sagt:

    Dazu sollte man auch wissen, wie der Treiber heißt, bzw. bei welchen Gigabyte-Produkten er zum Einsatz kommt. (Und ich spekuliere noch darüber, u.a. bei genanntem Boardhersteller nach neueren Realtek HD Audio Treibern zu suchen…)

  2. MOSTLY HARMLESS!
    Auch dieser Schädling funktioniert nur auf den Windows-Installationen armer ahnungsloser Tröpfe, die ihn in ihrem Administratorkonto ausführen (denn ohne Administratorrechte kann der Treiber nicht geladen werden).
    Allen weniger ahnungslosen Windows-Missbrauchern, die ein unprivilegiertes STANDARD-Benutzerkonto verwenden, kann der Schädling nichts anhaben … es sei denn, diese sind so ungeschickt, einen eventuellen UAC-Prompt zu bejahen.
    Aber auch dagegen gibt's Abhilfe: UAC in Standardkonto deaktivieren.
    Noch effektiver ist natürlich, das Starten dahergelaufener (also nicht vom Administrator unter %ProgramFiles% oder %SystemRoot% installierter) Programme per SAFER alias Softwarebeschränkungsrichtlinien zu unterbinden.

    • 1ST1 sagt:

      Wenn man – aus welchen Gründen auch immer – diese Software installiert, fordert Windows per UAC entsprechende Rechte an.

      Ähnlich auch beim Realtek-Ding. Dort muss man nur den Benutzer dazu bringen, irgendwas zu installieren. Dieses "Irgendwas" stellt fest, dass der HD-Audio-Treiber installiert ist, und legt passende DLLs ab, die fortan bei jedem Systemstart vom Audio-Treiber mit gestartet werden, ohne dass man das mit autoruns entdecken würde…

      Applocker, SRP usw. helfen zwar, aber wer macht das zuhause? Und wer eine Software will, und hat die Möglichkeit dazu, sei es per UAC oder per separatem Admin-Account, tut das auch, wenn er das Programm (glaubt zu) benötig(en/t).

      • Ist ALLES IRRELEVANT: der Angriff erfolgt mit dem vom Schädling MITGEBRACHTEN signierten Treiber, nicht über einen EVENTUELL installierten (veralteten und unsicheren) Treiber!
        MERKE: erst lesen, dann denken und verstehen, danach vielleicht posten!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.