{"id":274342,"date":"2022-10-26T08:18:04","date_gmt":"2022-10-26T06:18:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274342"},"modified":"2022-10-28T15:32:10","modified_gmt":"2022-10-28T13:32:10","slug":"avast-anti-rootkit-treiber-bei-ransomware-angriff-zur-erhhung-der-berechtigung-verwendet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/26\/avast-anti-rootkit-treiber-bei-ransomware-angriff-zur-erhhung-der-berechtigung-verwendet\/","title":{"rendered":"Avast Anti-Rootkit-Treiber bei Ransomware-Angriff zur Erhöhung der Berechtigung verwendet"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ransomware-Gruppen entwickeln immer neue Taktiken, Techniken und Verfahren (TTPs), um Schutzma\u00dfnahmen bei Angriffen zu umgehen. Andererseits entwickeln sich die Schutzma\u00dfnahmen auf Endpunkten und in Netzwerken\u00a0 immer weiter. Das Microsoft Detection and Response Team (DART) hat die Tage einen Fallbericht ver\u00f6ffentlicht, wo offengelegt wurde, wie Angreifer den Avast Anti-Rootkit-Treiber verwenden, um bei Ransomware-Angriffen eine Erh\u00f6hung der Berechtigung durchzuf\u00fchren.<\/p>\n

<\/p>\n

\"\"Ich bin die Tage \u00fcber nachfolgenden Tweet<\/a> auf das Thema gesto\u00dfen, weleches das Microsoft Detection and Response Team (DART) im Artikel Defenders beware: A case for post-ransomware investigations<\/a> offen gelegt hat.<\/p>\n

\"Avast<\/a><\/p>\n

Der Beitrag beschreibt die Erkenntnisse aus einem k\u00fcrzlich aufgetretenen Ransomware-Vorfall. Bei diesem Angriff kamen eine Reihe von Standard-Tools und -Techniken, wie z. B. die Verwendung von \"living-off-the-land\"-Bin\u00e4rdateien, zur Verbreitung seines b\u00f6sartigen Codes zum Einsatz. Um Persistenz im Netzwerk zu erhalten, wurde die Software Cobalt Strike mit NT AUTHORITY\/SYSTEM (lokales SYSTEM) Privilegien benutzt. Dies erm\u00f6glichte den Angreifern, den Zugriff auf das Netzwerk nach dem Zur\u00fccksetzen von Passw\u00f6rtern kompromittierter Konten aufrecht zu erhalten.<\/p>\n

Living-off-the-land bedeutet, dass die Angreifer Bin\u00e4rdateien missbrauchen, die bereits auf einem System vorhanden sind. Das k\u00f6nnen .exe- und .dll-Dateien oder Treiber von Windows oder Anwendungen sein, die vom System mit entsprechenden Berechtigungen ausgef\u00fchrt werden. Gelingt es einem Angreifer, diese Bin\u00e4rdateien aufzurufen, kann er sich deren Berechtigungen verschaffen.<\/p>\n

Cobalt Strike ist eine Software mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrma\u00dfnahmen zu testen und die eigene Computersicherheit zu erh\u00f6hen. Es wird aber auch h\u00e4ufig von echten Angreifern wie APT-Gruppen oder Ransomware-Gangs verwendet.<\/p><\/blockquote>\n

Dienste und geplante Tasks haben die Option, als NT AUTHORITY\\System ausgef\u00fchrt zu werden. Gelingt b\u00f6sartigem Code der Zugriff auf Dienste oder k\u00f6nnen Aufgaben erstellt werden, erm\u00f6glicht dies dessen Ausf\u00fchrung mit hoch privilegiertem Zugriff. Bei der Analyse der befallenen Systeme fand das Microsoft Team mehrere geplante Aufgaben und Diensten, die von den Angreifern erstellt wurden, um sich dauerhaft im System einzunisten. Vorher hatten sie Zugang zu hoch privilegierten Anmeldeinformationen erhalten.<\/p>\n

Da der Angreifer diese Aufgaben und Dienste auf einem Dom\u00e4nencontroller erstellt hat, konnte er dank des lokalen SYSTEM-Zugriffs problemlos auf Dom\u00e4nenadministrator-Konten zugreifen. Durch die Bereitstellung einer Backdoor auf einem Dom\u00e4nencontroller konnte der Angreifer g\u00e4ngige Wiederherstellungsma\u00dfnahmen, wie z. B. das Zur\u00fccksetzen kompromittierter Konten, zur Reaktion auf einen Vorfall umgehen und so im Netzwerk verbleiben.<\/p>\n

Der Angreift verwendete einen Anti-Rootkit-Treiber von Avast, um entsprechende Berechtigungen zu erlangen. Unit 42 ver\u00f6ffentlichte k\u00fcrzlich einen Blog-Beitrag<\/a> dar\u00fcber, wie Kuba-Ransomware-Gruppen diesen Treiber verwendet haben, um Antiviren-Software zu deaktivieren, bevor sie die Kuba-Ransomware bereitstellten. Einen \u00e4hnlichen Fall hatte ich f\u00fcr den Defender im Blog-Beitrag Lockbit-Angreifer missbrauchen Windows Defender, um Cobalt Strike zu laden<\/a> dokumentiert.<\/p>\n

Der Angreifer installierte im aktuellen Fall den Treiber mit dem Befehl \"sc\" und aktivierte damit die Berechtigungen auf Kernel-Ebene. Anschlie\u00dfend startete er den Dienst mit \"sc start aswSP-ArPot2\". Dieser Dienst wurde von dem Akteur verwendet, um die Antiviren-Produkte der Opfer durch Kernel-Berechtigungen zu deaktivieren. Durch die Deaktivierung der Antivirenprodukte im Netzwerk der Opfer wurde sichergestellt, dass sich die Ransomware verbreiten konnte, ohne dass die Malware unter Quarant\u00e4ne gestellt oder verhindert wurde.<\/p>\n

Das Microsoft-Team beschreibt im Blog-Beitrag<\/a> detailliert die stufenweise Vorgehensweise, um das System zu infiltrieren und sich dann einzunisten.\u00a0 Dieser Vorfall zeigte auch, dass ein Angreifer eine lange Verweildauer in einem Netzwerk haben kann, bevor er seine Ransomware zur Ausf\u00fchrung bringt.<\/p>\n

Microsoft empfiehlt, proaktiv nach Verhaltensweisen zu suchen, die der Ransomware vorausgehen, und das Netzwerk zu h\u00e4rten, um Auswirkungen zu verhindern. Weitere Informationen zur Abwehr von Ransomware-Vorf\u00e4llen finden Sie hier<\/a>.<\/p>\n

Full statement Avast:<\/span><\/h2>\n
\n

Cuba locker ransomware is abusing a vulnerability in an old version of the Avast Anti-Rootkit Driver aswArPot.sys to evade detection by antivirus solutions. Avast fixed the driver vulnerability in our Avast 21.5 release in June 2021, and worked closely with Microsoft so they were able to release a block in the Windows operating systems 10 and 11, preventing the older version of the Avast driver to be loaded to memory.\u00a0<\/i><\/p>\n

To stay protected against this vulnerability, we recommend users update their Windows operating system with the latest security updates from Microsoft, and use a fully updated antivirus program. All consumer and business antivirus versions of Avast and AVG detect and block this Cuba ransomware variant, so our users are protected from this attack vector. Avast and AVG also block the loading of the vulnerable aswarpot driver, without notifying the user, so our technology protects against this type of malware before it can even get started.<\/i><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

[English]Ransomware-Gruppen entwickeln immer neue Taktiken, Techniken und Verfahren (TTPs), um Schutzma\u00dfnahmen bei Angriffen zu umgehen. Andererseits entwickeln sich die Schutzma\u00dfnahmen auf Endpunkten und in Netzwerken\u00a0 immer weiter. Das Microsoft Detection and Response Team (DART) hat die Tage einen Fallbericht ver\u00f6ffentlicht, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-274342","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274342","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274342"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274342\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274342"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274342"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274342"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}