{"id":273922,"date":"2022-10-15T11:14:20","date_gmt":"2022-10-15T09:14:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273922"},"modified":"2023-05-06T14:20:10","modified_gmt":"2023-05-06T12:20:10","slug":"blackbyte-ransomware-deaktiviert-sicherheitslsungen-ber-windows-treiber","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/15\/blackbyte-ransomware-deaktiviert-sicherheitslsungen-ber-windows-treiber\/","title":{"rendered":"BlackByte Ransomware deaktiviert Sicherheitslösungen über Windows-Treiber"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Betreiber der BlackByte Ransomware\u00a0 nutzen eine Schwachstelle in einem legitimen Windows-Treiber (von Micro-Stars MSI AfterBurner 4.6.2.15658) aus, um Sicherheitsl\u00f6sungen auszuhebeln. Darauf haben Sicherheitsforscher von Sophos k\u00fcrzlich in einem Bericht hingewiesen. Diese Technik ist als BYOVD-Angriff (BYOVD, Bring Your Own Vulnerable Driver) bekannt und nichts neues. Ich m\u00f6chte das Thema hier aber trotzdem als erneute Warnung aufgreifen.<\/p>\n

<\/p>\n

Bring Your Own Vulnerable Driver<\/h2>\n

BYOVD steht als K\u00fcrzel f\u00fcr Bring Your Own Vulnerable Driver. Das ist eine Angriffstechnik, bei dem ein legitimer und signierter Windows-Treiber \u00fcber Schwachstellen f\u00fcr Angriffe auf Systeme ausgenutzt wird. Im Juli 2022 berichtete Trend Micro \u00fcber den Missbrauch eines anf\u00e4lligen Anti-Cheat-Treibers f\u00fcr das Spiel Genshin Impact mit dem Namen mhyprot2.sys, um Antiviren-Prozesse und -Dienste f\u00fcr die Massenverbreitung von Ransomware zu beenden. Im Mai 2022 zeigte ein weiterer Bericht, wie eine AvosLocker-Ransomware-Variante ebenfalls den anf\u00e4lligen Avast Anti-Rootkit-Treiber aswarpot.sys zur Umgehung von Sicherheitsfunktionen missbrauchte.<\/p>\n

Neuer Fall durch BlackByte-Ransomware<\/h2>\n

Ein weiterer Fall dieser Angriffstechnik wurde jetzt von Sophos im Beitrag A fresh exploration of the malware uncovers a new tactic for bypassing security products by abusing a known driver vulnerability<\/a> \u00f6ffentlich gemacht.<\/p>\n

Andreas Klopsch von Sophos schreibt, dass man sich angesichts von Berichten \u00fcber eine neue Datenleck-Site der BlackByte-Ransomware-Gruppe n\u00e4her mit der neuesten, in Go geschriebenen, Ransomware-Variante befasst habe. Dabei stie\u00df man auf eine ausgekl\u00fcgelte Technik zur Umgehung von Sicherheitsprodukten durch Ausnutzung einer bekannten Schwachstelle im legitimen anf\u00e4lligen Treiber RTCore64.sys.<\/p>\n

CVE-2019-16098 in Micro-Stars MSI AfterBurner 4.6.2.15658 Treiber<\/h3>\n

RTCore64.sys und RTCore32.sys sind Treiber, die von Micro-Stars MSI AfterBurner 4.6.2.15658 verwendet werden. Das ist ein weit verbreitetes Dienstprogramm zur \u00dcbertaktung von Grafikkarten, welches eine erweiterte Kontrolle \u00fcber Grafikkarten im System erm\u00f6glicht.<\/p>\n

Die Schwachstelle CVE-2019-16098<\/a> erm\u00f6glicht es einem authentifizierten Benutzer, beliebigen Speicher sowie I\/O-Ports und MSR (k\u00f6nnte MSR<\/a> = Microsoft System Reserved oder Model Specific Register) zu lesen und zu beschreiben. Das kann zur Ausweitung von Privilegien, zur Codeausf\u00fchrung mit hohen Rechten oder zur Offenlegung von Informationen ausgenutzt werden.<\/p>\n

Die E\/A-Steuercodes in RTCore64.sys sind f\u00fcr Prozesse im Benutzermodus direkt zug\u00e4nglich. Wie in der Microsoft-Richtlinie zur Sicherung von IOCTL-Codes in Treibern angegeben, gilt die Definition von IOCTL-Codes, die es dem Aufrufer erm\u00f6glichen, unspezifische Bereiche des Kernelspeichers zu lesen oder zu schreiben, als gef\u00e4hrlich. Es ist kein Shellcode oder Exploit erforderlich, um die Schwachstelle auszunutzen – es gen\u00fcgt, mit b\u00f6swilliger Absicht auf diese Steuercodes zuzugreifen.<\/p>\n

Sicherheitsprodukte lassen sich deaktivieren<\/h3>\n

Im Blog-Beitrag geht Andreas Klopsch von Sophos ausf\u00fchrlich auf die Details des Angriffsvektors ein. Am Schluss z\u00e4hlt nur, dass die von der Ransomware genutzte Umgehungstechnik die Deaktivierung von mehr als 1.000 Treibern, auf die sich Sicherheitsprodukte verlassen, unterst\u00fctzt. Sophos Produkte bieten Schutzma\u00dfnahmen gegen die in diesem Artikel beschriebenen Taktiken. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Betreiber der BlackByte Ransomware\u00a0 nutzen eine Schwachstelle in einem legitimen Windows-Treiber (von Micro-Stars MSI AfterBurner 4.6.2.15658) aus, um Sicherheitsl\u00f6sungen auszuhebeln. Darauf haben Sicherheitsforscher von Sophos k\u00fcrzlich in einem Bericht hingewiesen. Diese Technik ist als BYOVD-Angriff (BYOVD, Bring Your Own … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-273922","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273922","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=273922"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273922\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=273922"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=273922"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=273922"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}