{"id":227938,"date":"2020-02-07T00:07:00","date_gmt":"2020-02-06T23:07:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227938"},"modified":"2020-02-07T08:07:38","modified_gmt":"2020-02-07T07:07:38","slug":"robinhood-ransomware-schiet-ber-gigabyte-treiber-av-ab","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/07\/robinhood-ransomware-schiet-ber-gigabyte-treiber-av-ab\/","title":{"rendered":"RobinHood Ransomware schie&szlig;t &uuml;ber Gigabyte-Treiber AV ab"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/02\/07\/robinhood-ransomware-kills-av-via-vulnerable-gigabyte-driver\/#more-13012\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Sicherheitsspezialisten von Sophos haben zwei RobinHood Ransomware-Angriffe analysiert und festgestellt, dass diese einen veralteten Gigabyte-Treiber verwenden, um installierte Antivirus-Software lahm zu legen. Anschlie\u00dfend startet der Angriff zur Verschl\u00fcsselung.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/0f66e886e1e64446843582eabf1a6a6c\" alt=\"\" width=\"1\" height=\"1\" \/>Der nachfolgende Tweet von SophosLabs verweist auf <a href=\"https:\/\/news.sophos.com\/en-us\/2020\/02\/06\/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software\/\" target=\"_blank\" rel=\"noopener noreferrer\">den Originalartikel<\/a>, und Bleeping Computer hat es <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/ransomware-exploits-gigabyte-driver-to-kill-av-processes\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> aufgegriffen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">NEW RESEARCH: Two different ransomware attacks borrow vulnerable driver to remove security software from the targeted computers just prior to performing the destructive file encryption portion of the attack.<\/p>\n<p>Full story: <a href=\"https:\/\/t.co\/6nvrryoGEG\">https:\/\/t.co\/6nvrryoGEG<\/a> <a href=\"https:\/\/t.co\/tBrVXYBv6O\">pic.twitter.com\/tBrVXYBv6O<\/a><\/p>\n<p>\u2014 SophosLabs (@SophosLabs) <a href=\"https:\/\/twitter.com\/SophosLabs\/status\/1225451243902054403?ref_src=twsrc%5Etfw\">February 6, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h2>Alter Gigabyte-Treiber als Schwachstelle<\/h2>\n<p>Ein signierter, inzwischen aber veralteter (Grafik-)Treiber (ist Teil eines Softwarepakets) des taiwanesischen Motherboard-Herstellers Gigabyte weist eine seit 2018 bekannte Schwachstelle <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2018-19320\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2018-19320<\/a> auf.<\/p>\n<blockquote><p>The GDrv low-level driver in GIGABYTE APP Center v1.05.21 and earlier, AORUS GRAPHICS ENGINE before 1.57, XTREME GAMING ENGINE before 1.26, and OC GURU II v2.08 exposes ring0 memcpy-like functionality that could allow a local attacker to take complete control of the affected system.<\/p><\/blockquote>\n<p>Das Softwarepaket mit dem Treiber ist zwar veraltet. Aber weder Microsoft noch Verisign, deren Code-Signatur-Mechanismus zur digitalen Signatur des Treibers verwendet wurde, haben das Signatur-Zertifikat widerrufen, so dass die Authenticode-Signatur weiterhin g\u00fcltig ist.<\/p>\n<h2>Angriff \u00fcber den Treiber<\/h2>\n<p>In den beobachten F\u00e4llen\u00a0 haben die Cyber-Kriminellen hinter der RobinHood-Ransomware den Gigabyte-Treiber als Hebel benutzt, um einen zweiten, nicht signierten Treiber in Windows zu laden. Dieser zweite Treiber versucht dann, Prozesse und Dateien von Endpunkt-Sicherheitsprodukten (Antivirus-Software) zu killen. Damit kann der Manipulationsschutz dieser Pakete umgangen werden, und die Ransomware ist frei, die Verschl\u00fcsselung der Dateien vorzunehmen. Anschlie\u00dfen wird die RobinHood Ransomware-Meldung eingeblendet.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"RobinHood Ransomware-Meldung\" src=\"https:\/\/news.sophos.com\/wp-content\/uploads\/2020\/02\/robbinhood-ransom-note.png?resize=768,670\" alt=\"RobinHood Ransomware-Meldung\" width=\"569\" height=\"496\" \/><br \/>\n(RobinHood Ransomware-Meldung, Quelle: Sophos)<\/p>\n<p>Die Sophos-Sicherheitsforscher schreiben, dass es das erste Mal\u00a0 ist, dass Ransomware beobachtet wurde, die einen von Microsoft mitsignierten (aber anf\u00e4lligen) Treiber eines Drittanbieters ausliefern, um den Windows-Kernel im Speicher zu patchen, ihren eigenen unsignierten b\u00f6sartigen Treiber zu laden und Sicherheitsanwendungen aus dem Kernelbereich zu entfernen. In beiden analysierten F\u00e4llen wurde die RobbinHood-Ransomware gefunden.<\/p>\n<h2>Windows-Viren-\/Ransomware-Schutz ausgehebelt<\/h2>\n<p>Die Sicherheitsforscher haben vor kurzem gesehen, wie die RobbinHood-Ransomware-Familie Dateien ohne Behinderung durch Endpunktschutzsoftware verschl\u00fcsseln konnte. Der Installer der Ransomware unterwandert \u00fcber den Treiber erfolgreich den Kernelspeicher von Windows 7, Windows 8 und Windows 10. Dann wird eine Datei mit dem Namen STEEL.EXE auf dem System ausgef\u00fchrt.<\/p>\n<p>Diese extrahiert eine Reihe an weiteren Dateien in den Ordner C:\\WINDOWS\\TEMP. Im Anschluss werden die entpackten Dateien gestartet, die dann einen Treiber mit einer Schwachstelle installieren und die Prozesse der Virenscanner abschie\u00dfen. Die Details werden <a href=\"https:\/\/news.sophos.com\/en-us\/2020\/02\/06\/living-off-another-land-ransomware-borrows-vulnerable-driver-to-remove-security-software\/\" target=\"_blank\" rel=\"noopener noreferrer\">in diesem Sophos-Artikel<\/a> aufbereitet. Wer also mit alter Gigabyte-Hardware unterwegs ist, sollte schauen, ob der Treiber eventuell noch unter Windows installiert ist.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsspezialisten von Sophos haben zwei RobinHood Ransomware-Angriffe analysiert und festgestellt, dass diese einen veralteten Gigabyte-Treiber verwenden, um installierte Antivirus-Software lahm zu legen. Anschlie\u00dfend startet der Angriff zur Verschl\u00fcsselung.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4715,4328,115,3288],"class_list":["post-227938","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-ransomware","tag-sicherheit","tag-treiber","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227938","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227938"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227938\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227938"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227938"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227938"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}