[English]Angreifer haben Sicherheitslücken in älteren Versionen des Truesight.sys-Treibers für Angriffe ausgenutzt. Sicherheitsforscher von Check Point Research sind auf eine Kampagne gestoßen, in der Angreifer über 2500 Varianten von einer älteren Version des Truesight.sys-Treiber generierten, um Sicherheitsprodukte zu deaktivieren und volle Kontrolle über die Zielsysteme zu erlangen. Microsoft hat im Dezember 2024 reagiert und den Treiber in die Blockliste unter Windows aufgenommen.
Angriffe über Windows-Treiber
Cyber-Kriminelle konzentrieren sich seit einiger Zeit darauf, Schwachstellen in Treibern auszunutzen. Diese Software-Komponenten werden im Kernel-Modus von Windows mit den höchsten Berechtigungen ausgeführt. Werden diese Treiber kompromittiert, dann bieten sie Angreifern eine gute Möglichkeit, um Sicherheitsmaßnahmen zu umgehen und weitere Attacken vorzubereiten.
Sicherheitsforscher von Check Point Research sind auf eine Kampagne gestoßen, bei der Angreifer bekannte Schwachstellen in einer älteren Version des Treibers Truesight.sys ausnutzten. Um die Erkennung durch Sicherheitslösungen zu umgehen, erzeugten die Angreifer in der Kampagne 2500 Varianten des Treibers 2.0.2 mit jeweils unterschiedlichen Hashes. Sie veränderten bestimmte Teile des Treibers, achteten aber darauf, dass dessen digitale Signatur gültig blieb.
Check Point Research meldete das Problem dem Microsoft Security Response Center, das daraufhin die Microsoft-Liste der anfälligen Treiber aktualisierte. Durch dieses Update wurden alle Varianten des veralteten Treibers, die in der Kampagne ausgenutzt wurden, blockiert. Im Anschluss an die Untersuchung nahm Microsoft die veraltete Version 2.0.2 des Treibers Truesight.sys in die Liste der anfälligen Treiber auf.
Wer verwendet den Truesight.sys-Treiber?
Wenn ich es richtig mitbekommen habe, wird der Truesight.sys-Treiber für Windows durch Sicherheitsprodukte des französischen Anbieters Adlice Software verwendet.
Ein solcher Treiber wird von Windows mit Systemrechten geladen. Schwachstellen ermöglichen dann die Funktionen von Sicherheitslösungen zu deaktivieren oder weitere Windows-Funktionen zu manipulieren.
Windows schützt gegen veraltete Treiber
Im Jahr 2015 wurde durch Microsoft eine Richtlinie unter Windows eingeführt, die das Laden neuer Treiber verhinderte, wenn diese nicht signiert sind. Ziel ist es, den Missbrauch durch solche Treiber zu verhindern. Treiber, die vor 2015 erstellt wurden, konnten jedoch weiterhin ausgeführt werden. In der oben erwähnten Kampagne wurden aber signierte Varianten des Truesight.sys-Treibers Treibers 2.0.2 für die Angriffe genutzt.
Weiterhin sollte Windows bekannte, bösartige Treiber beim Laden blockieren, so dass diese keinen Schaden anrichten können. Zumindest hat Microsoft dies seit Jahren behauptet. Dazu werden auch immer Updates dieser Treiberlisten mit den monatlichen kumulativen Sicherheitsupdates an aktuelle Windows-Systeme verteilt. Ich hatte im Blog-Beitrag Microsoft bestätigt: Windows patzt bei der Erkennung gefährlicher Treiber – Blocklisten nicht verteilt 2022 berichtet, dass dieser Mechanismus längere Zeit nicht funktionierte. Zudem erkennt Windows bösartige Treiber nur, wenn diese in der Block-Liste enthalten sind.
Details zur Aufdeckung der Kampagne
Vor einigen Monaten hat Check Point Research (CPR) eine Methode entwickelt, um nach Treibern zu suchen, die nicht als anfällig bekannt sind. Bei der Prüfung von Hunderten von Treibern, die mit dieser Methode gefunden wurden, fiel sofort etwas auf, was wie bösartiger Code des bekannten durch Schwachstellen anfälligen (RogueKiller Antirootkit) Treibers Truesight.sys 3.4.0 aussah.
Obwohl der Windows-Treiber selbst legitim ist und häufig in Sicherheitslösungen eingesetzt wird, weist die Version Versionen vor 3.4.0 eine erhebliche Sicherheitslücke auf. Diese Schwachstelle ermöglicht es Angreifern, Prozesse im Benutzermodus zu beenden – ein kritischer Fehler, der ausgenutzt werden kann, um Antiviren- oder Endpoint-Detection-and-Response-Lösungen zu deaktivieren.
Alte Treiberversion 2.0.2 genutzt
Weitere Untersuchungen ergaben jedoch, dass die Angreifer Truesight.sys Version 2.0.2 verwendeten. Während andere Versionen wie 3.3.0 öffentlich bekannt waren und als ausnutzbar erkannt wurden, gelang es der Version 2.0.2 über mehrere Monate hinweg, der Erkennung zu entgehen. Der Hauptgrund dafür war die Fähigkeit der Version, Microsofts Vulnerable Driver Blocklist und andere Erkennungsmechanismen, wie das LOLDrivers-Projekt, zu umgehen.
Diese veraltete Version enthielt den anfälligen Code, der es Angreifern ermöglichte, den Fehler auszunutzen und gleichzeitig der Erkennung durch moderne Blockierlisten zu entgehen – ein gewitzter Ansatz, um unentdeckt zu bleiben. Microsofts Vulnerable Driver Blocklist, die das Laden bekannter bösartiger Treiber verhindern soll, erkannte diese spezielle Version nicht. Die Angreifer wählten absichtlich die Version 2.0.2, da sie anfälligen Code enthielt und die gängigen Erkennungsmethoden für neuere Versionen umging.
Ausgeklügelter Ansatz verhindert Erkennung
Um einer weiteren Entdeckung zu entgehen, verwendeten die Angreifer fortgeschrittene Techniken, um den Treiber 2.0.2 zu modifizieren und mehr als 2500 einzigartige Varianten zu erzeugen. Diese Varianten wurden durch subtile Änderungen an Teilen der Portable Executable (PE)-Struktur des Treibers erzeugt. Dies stellte sicher, dass jede Variante des Treibers einen anderen Hash-Wert hatte.
Trotz dieser Änderungen blieb die digitale Signatur des Treibers gültig, so dass er legitim erschien und Sicherheitskontrollen umgangen werden konnten. Auf diese Weise stellten die Angreifer sicher, dass herkömmliche, signaturbasierte Erkennungsmethoden diese Bedrohung nicht wirksam verhindern konnten. Die Angreifer gingen aber einen Schritt weiter: Die Varianten waren mit gültigen Zertifikaten signiert, so dass sie auf Systeme geladen werden konnten, ohne die meisten Sicherheitsprogramme zu alarmieren.
Diese Raffinesse zeigt, dass die Angreifer ein tiefes Verständnis für die Umgehung von Erkennungsmechanismen haben, so dass sie Sicherheitsvorkehrungen ausweichen und über längere Zeiträume auf infizierten Systemen ausharren können.
Angriffsinfrastruktur in China und Asien genutzt
Die Angreifer nutzten eine öffentliche Cloud-Infrastruktur in der Region China und weiteren asiatischen Ländern. Diese Wahl wurde getroffen, da sie die den Angreifern wahrscheinlich mehr Kontrolle und Stabilität sowie eine mögliche Umgehung der Strafverfolgungs- und Cyber-Sicherheitsbehörden bieten sollte. Etwa 75 Prozent der kompromittierten Rechner gehörten Organisationen mit Sitz in China, die übrigen Opfer befanden sich in anderen Teilen Asiens, darunter Singapur und Taiwan.
Muster der Angriffe
Die Muster der ersten Phase, die als Downloader dienten, tarnten sich als bekannte Anwendungen, die häufig über Phishing-Methoden verbreitet werden. Dabei kamen betrügerische Websites und Phishing-Kanäle in beliebten Messaging-Anwendungen zum Einsatz. Ein Beispiel für eine betrügerische Website, die Besucher anzog, war eine Website, die Best-Buy-Angebote für Luxusgüter anbot.
Abbildung 1: Betrügerische Website, die mit Rabatten auf Luxusgüter wirbt (Check Point Software Technologies Inc.).
Die Angriffe, die in erster Linie auf China abzielten, begannen nach der Bereitstellung von Artefakten, die sich als legitime Anwendungen ausgaben, damit, den Truesight-Treiber sowie eine zweite Nutzlast herunter zu laden. Diese ermöglichten den Abruf einer Endpoint Detection and Response-Killer-Software und des HiddenGh0st-Trojaners (stammt von Gh0st RAT ab), so eine Analyse der Check Point-Forscher. Ich habe auf reddit.com aber diesen deutschsprachigen Post von Mitte 2024 gefunden, der sich auf ein Problem mit dem truesight.sys-Treiber bezieht.
Auf Grund der Ähnlichkeit der Muster im Anfangsstadium der beobachteten Kampagnen und historischen Targeting-Mustern gehen die Check Point-Forscher mit mittlerer bis hoher Wahrscheinlichkeit davon aus, dass diese Kampagne zur Verbreitung der HiddenGh0st-Malware mit der Silver Fox APT in Verbindung steht.
Silver Fox ist laut Check Point Research eine cyberkriminelle Gruppe, die vermutlich in China ansässig ist. Sie war an verschiedenen bösartigen Aktivitäten beteiligt, die hauptsächlich auf den Gesundheitssektor abzielten. Sie sind dafür bekannt, legitime medizinische Software auszunutzen, und ihre Angriffe beinhalten oft die Installation des ValleyRAT.
Darkside und TrueSightKiller haben laut diesem Check Point Research-Beitrag einen Proof of Concept (PoC) für diese Schwachstelle gefunden. Er wurde erstellt, um zu demonstrieren, wie diese Schwachstelle böswillig ausgenutzt werden kann. Eine Beschreibung, wie sich die Schwachstelle ausnutzen lässt, findet sich hier. Der PoC-Exploit ist seit mindestens November 2023 öffentlich zugänglich und zeigt, dass die Schwachstelle als Waffe eingesetzt werden kann, um Prozesse auf einem System zu beenden, was zu Sicherheitsverletzungen führen kann.
Check Point Research hat zum 24. Februar 2024 den Beitrag Silent Killers: Unmasking a Large-Scale Legacy Driver Exploitation Campaign mit weiteren Details zur Kampagne veröffentlicht.
Microsoft reagiert im Dezember 2024
Im Dezember 2024 hat das Microsoft Security Response Center (MSRC) die Microsoft Vulnerable Driver Blocklist aktualisiert und Truesight v2.0.2 aufgenommen. Dieses Update verhindert, dass die anfälligen Legacy-Treiber in zukünftigen Angriffen ausgenutzt werden können.
MVP: 2013 – 2016
