{"id":308989,"date":"2025-03-03T07:37:23","date_gmt":"2025-03-03T06:37:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=308989"},"modified":"2025-03-03T07:37:26","modified_gmt":"2025-03-03T06:37:26","slug":"check-point-research-deckt-angriffe-ueber-veraltete-truesight-sys-treiber-auf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/03\/03\/check-point-research-deckt-angriffe-ueber-veraltete-truesight-sys-treiber-auf\/","title":{"rendered":"Check Point Research deckt Angriffe \u00fcber veraltete Truesight.sys-Treiber auf"},"content":{"rendered":"

\"Windows\"[English]Angreifer haben Sicherheitsl\u00fccken in \u00e4lteren Versionen des Truesight.sys<\/em>-Treibers f\u00fcr Angriffe ausgenutzt. Sicherheitsforscher von Check Point Research sind auf eine Kampagne gesto\u00dfen, in der Angreifer \u00fcber 2500 Varianten von einer \u00e4lteren Version des Truesight.sys-<\/em>Treiber generierten, um Sicherheitsprodukte zu deaktivieren und volle Kontrolle \u00fcber die Zielsysteme zu erlangen. Microsoft hat im Dezember 2024 reagiert und den Treiber in die Blockliste unter Windows aufgenommen.<\/p>\n

<\/p>\n

Angriffe \u00fcber Windows-Treiber<\/h2>\n

\"\"Cyber-Kriminelle konzentrieren sich seit einiger Zeit darauf, Schwachstellen in Treibern auszunutzen. Diese Software-Komponenten werden im Kernel-Modus von Windows mit den h\u00f6chsten Berechtigungen ausgef\u00fchrt. Werden diese Treiber kompromittiert, dann bieten sie Angreifern eine gute M\u00f6glichkeit, um Sicherheitsma\u00dfnahmen zu umgehen und weitere Attacken vorzubereiten.<\/p>\n

Sicherheitsforscher von Check Point Research sind auf eine Kampagne gesto\u00dfen, bei der Angreifer bekannte Schwachstellen in einer \u00e4lteren Version des Treibers Truesight.sys<\/em> ausnutzten. Um die Erkennung durch Sicherheitsl\u00f6sungen zu umgehen, erzeugten die Angreifer in der Kampagne 2500 Varianten des Treibers 2.0.2 mit jeweils unterschiedlichen Hashes. Sie ver\u00e4nderten bestimmte Teile des Treibers, achteten aber darauf, dass dessen digitale Signatur g\u00fcltig blieb.<\/p>\n

Check Point Research meldete das Problem dem Microsoft Security Response Center, das daraufhin die Microsoft-Liste der anf\u00e4lligen Treiber aktualisierte. Durch dieses Update wurden alle Varianten des veralteten Treibers, die in der Kampagne ausgenutzt wurden, blockiert. Im Anschluss an die Untersuchung nahm Microsoft die veraltete Version 2.0.2 des Treibers Truesight.sys<\/em> in die Liste der anf\u00e4lligen Treiber auf.<\/p>\n

Wer verwendet den Truesight.sys<\/em>-Treiber?<\/h3>\n

Wenn ich es richtig mitbekommen habe, wird der\u00a0Truesight.sys<\/em>-Treiber f\u00fcr Windows durch Sicherheitsprodukte des franz\u00f6sischen Anbieters Adlice Software<\/a> verwendet.<\/p>\n

\"Adlice<\/p>\n

Ein solcher Treiber wird von Windows mit Systemrechten geladen. Schwachstellen erm\u00f6glichen dann die Funktionen von Sicherheitsl\u00f6sungen zu deaktivieren oder weitere Windows-Funktionen zu manipulieren.<\/p>\n

Windows sch\u00fctzt gegen veraltete Treiber<\/h3>\n

Im Jahr 2015 wurde durch Microsoft eine Richtlinie unter Windows eingef\u00fchrt, die das Laden neuer Treiber verhinderte, wenn diese nicht signiert sind. Ziel ist es, den Missbrauch durch solche Treiber zu verhindern. Treiber, die vor 2015 erstellt wurden, konnten jedoch weiterhin ausgef\u00fchrt werden. In der oben erw\u00e4hnten Kampagne wurden aber signierte Varianten des Truesight.sys<\/em>-Treibers Treibers 2.0.2 f\u00fcr die Angriffe genutzt.<\/p>\n

Weiterhin sollte Windows bekannte, b\u00f6sartige Treiber beim Laden blockieren, so dass diese keinen Schaden anrichten k\u00f6nnen. Zumindest hat Microsoft dies seit Jahren behauptet. Dazu werden auch immer Updates dieser Treiberlisten mit den monatlichen kumulativen Sicherheitsupdates an aktuelle Windows-Systeme verteilt. Ich hatte im Blog-Beitrag\u00a0Microsoft best\u00e4tigt: Windows patzt bei der Erkennung gef\u00e4hrlicher Treiber \u2013 Blocklisten nicht verteilt<\/a> 2022 berichtet, dass dieser Mechanismus l\u00e4ngere Zeit nicht funktionierte. Zudem erkennt Windows b\u00f6sartige Treiber nur, wenn diese in der Block-Liste enthalten sind.<\/p>\n

Details zur Aufdeckung der Kampagne<\/h2>\n

Vor einigen Monaten hat Check Point Research (CPR) eine Methode entwickelt,<\/a> um nach Treibern zu suchen, die nicht als anf\u00e4llig bekannt sind. Bei der Pr\u00fcfung von Hunderten von Treibern, die mit dieser Methode gefunden wurden, fiel sofort etwas auf, was wie b\u00f6sartiger Code des bekannten durch Schwachstellen anf\u00e4lligen (RogueKiller Antirootkit)\u00a0Treibers Truesight.sys 3.4.0 aussah.<\/p>\n

Obwohl der Windows-Treiber selbst legitim ist und h\u00e4ufig in Sicherheitsl\u00f6sungen eingesetzt wird, weist die Version Versionen vor 3.4.0 eine erhebliche Sicherheitsl\u00fccke auf. Diese Schwachstelle erm\u00f6glicht es Angreifern, Prozesse im Benutzermodus zu beenden \u2013 ein kritischer Fehler, der ausgenutzt werden kann, um Antiviren- oder Endpoint-Detection-and-Response-L\u00f6sungen zu deaktivieren.<\/p>\n

Alte Treiberversion 2.0.2 genutzt<\/h3>\n

Weitere Untersuchungen ergaben jedoch, dass die Angreifer Truesight.sys<\/em> Version 2.0.2 verwendeten. W\u00e4hrend andere Versionen wie 3.3.0 \u00f6ffentlich bekannt waren und als ausnutzbar erkannt wurden, gelang es der Version 2.0.2 \u00fcber mehrere Monate hinweg, der Erkennung zu entgehen. Der Hauptgrund daf\u00fcr war die F\u00e4higkeit der Version, Microsofts Vulnerable Driver Blocklist und andere Erkennungsmechanismen, wie das LOLDrivers-<\/a>Projekt, zu umgehen.<\/p>\n

Diese veraltete Version enthielt den anf\u00e4lligen Code, der es Angreifern erm\u00f6glichte, den Fehler auszunutzen und gleichzeitig der Erkennung durch moderne Blockierlisten zu entgehen \u2013 ein gewitzter Ansatz, um unentdeckt zu bleiben. Microsofts Vulnerable Driver Blocklist, die das Laden bekannter b\u00f6sartiger Treiber verhindern soll, erkannte diese spezielle Version nicht. Die Angreifer w\u00e4hlten absichtlich die Version 2.0.2, da sie anf\u00e4lligen Code enthielt und die g\u00e4ngigen Erkennungsmethoden f\u00fcr neuere Versionen umging.<\/p>\n

Ausgekl\u00fcgelter Ansatz verhindert Erkennung<\/h3>\n

Um einer weiteren Entdeckung zu entgehen, verwendeten die Angreifer fortgeschrittene Techniken, um den Treiber 2.0.2 zu modifizieren und mehr als 2500 einzigartige Varianten zu erzeugen. Diese Varianten wurden durch subtile \u00c4nderungen an Teilen der Portable Executable (PE)-Struktur des Treibers erzeugt. Dies stellte sicher, dass jede Variante des Treibers einen anderen Hash-Wert hatte.<\/p>\n

Trotz dieser \u00c4nderungen blieb die digitale Signatur des Treibers g\u00fcltig, so dass er legitim erschien und Sicherheitskontrollen umgangen werden konnten. Auf diese Weise stellten die Angreifer sicher, dass herk\u00f6mmliche, signaturbasierte Erkennungsmethoden diese Bedrohung nicht wirksam verhindern konnten. Die Angreifer gingen aber einen Schritt weiter: Die Varianten waren mit g\u00fcltigen Zertifikaten signiert, so dass sie auf Systeme geladen werden konnten, ohne die meisten Sicherheitsprogramme zu alarmieren.<\/p>\n

Diese Raffinesse zeigt, dass die Angreifer ein tiefes Verst\u00e4ndnis f\u00fcr die Umgehung von Erkennungsmechanismen haben, so dass sie Sicherheitsvorkehrungen ausweichen und \u00fcber l\u00e4ngere Zeitr\u00e4ume auf infizierten Systemen ausharren k\u00f6nnen.<\/p>\n

Angriffsinfrastruktur in China und Asien genutzt<\/h3>\n

Die Angreifer nutzten eine \u00f6ffentliche Cloud-Infrastruktur in der Region China und weiteren asiatischen L\u00e4ndern. Diese Wahl wurde getroffen, da sie die den Angreifern wahrscheinlich mehr Kontrolle und Stabilit\u00e4t sowie eine m\u00f6gliche Umgehung der Strafverfolgungs- und Cyber-Sicherheitsbeh\u00f6rden bieten sollte. Etwa 75 Prozent der kompromittierten Rechner geh\u00f6rten Organisationen mit Sitz in China, die \u00fcbrigen Opfer befanden sich in anderen Teilen Asiens, darunter Singapur und Taiwan.<\/p>\n

Muster der Angriffe<\/h3>\n

Die Muster der ersten Phase, die als Downloader dienten, tarnten sich als bekannte Anwendungen, die h\u00e4ufig \u00fcber Phishing-Methoden verbreitet werden. Dabei kamen betr\u00fcgerische Websites und Phishing-Kan\u00e4le in beliebten Messaging-Anwendungen zum Einsatz. Ein Beispiel f\u00fcr eine betr\u00fcgerische Website, die Besucher anzog, war eine Website, die Best-Buy-Angebote f\u00fcr Luxusg\u00fcter anbot.<\/p>\n

\"Phishing<\/p>\n

Abbildung 1: Betr\u00fcgerische Website, die mit Rabatten auf Luxusg\u00fcter wirbt (Check Point Software Technologies Inc.).<\/em><\/p>\n

Die Angriffe, die in erster Linie auf China abzielten, begannen nach der Bereitstellung von Artefakten, die sich als legitime Anwendungen ausgaben, damit, den Truesight-Treiber sowie eine zweite Nutzlast herunter zu laden. Diese erm\u00f6glichten den Abruf einer Endpoint Detection and Response-Killer-Software und des HiddenGh0st-Trojaners (stammt von Gh0st RAT ab), so eine Analyse der Check Point-Forscher. Ich habe auf reddit.com aber diesen deutschsprachigen Post<\/a> von Mitte 2024 gefunden, der sich auf ein Problem mit dem\u00a0truesight.sys-Treiber bezieht.<\/p>\n

Auf Grund der \u00c4hnlichkeit der Muster im Anfangsstadium der beobachteten Kampagnen und historischen Targeting-Mustern gehen die Check Point-Forscher mit\u00a0mittlerer bis hoher Wahrscheinlichkeit davon aus, dass diese Kampagne zur Verbreitung der HiddenGh0st-Malware mit der Silver Fox<\/em> APT in Verbindung steht.<\/p>\n

Silver Fox ist laut Check Point Research eine cyberkriminelle Gruppe, die vermutlich in China ans\u00e4ssig ist. Sie war an verschiedenen b\u00f6sartigen Aktivit\u00e4ten beteiligt, die haupts\u00e4chlich auf den Gesundheitssektor abzielten. Sie sind daf\u00fcr bekannt, legitime medizinische Software auszunutzen, und ihre Angriffe beinhalten oft die Installation des ValleyRAT.<\/p>\n

Darkside<\/a> und TrueSightKiller haben laut diesem Check Point Research<\/a>-Beitrag einen Proof of Concept (PoC) f\u00fcr diese Schwachstelle gefunden. Er wurde erstellt, um zu demonstrieren, wie diese Schwachstelle b\u00f6swillig ausgenutzt werden kann. Eine Beschreibung, wie sich die Schwachstelle ausnutzen l\u00e4sst, findet sich hier<\/a>. Der PoC-Exploit ist seit mindestens November 2023 \u00f6ffentlich zug\u00e4nglich und zeigt, dass die Schwachstelle als Waffe eingesetzt werden kann, um Prozesse auf einem System zu beenden, was zu Sicherheitsverletzungen f\u00fchren kann.<\/p>\n

Check Point Research hat zum 24. Februar 2024 den Beitrag Silent Killers: Unmasking a Large-Scale Legacy Driver Exploitation Campaign<\/a> mit weiteren Details zur Kampagne ver\u00f6ffentlicht.<\/p>\n

Microsoft reagiert im Dezember 2024<\/h2>\n

Im Dezember 2024 hat das Microsoft Security Response Center (MSRC) die Microsoft Vulnerable Driver Blocklist aktualisiert und Truesight v2.0.2 aufgenommen. Dieses Update verhindert, dass die anf\u00e4lligen Legacy-Treiber in zuk\u00fcnftigen Angriffen ausgenutzt werden k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Angreifer haben Sicherheitsl\u00fccken in \u00e4lteren Versionen des Truesight.sys-Treibers f\u00fcr Angriffe ausgenutzt. Sicherheitsforscher von Check Point Research sind auf eine Kampagne gesto\u00dfen, in der Angreifer \u00fcber 2500 Varianten von einer \u00e4lteren Version des Truesight.sys-Treiber generierten, um Sicherheitsprodukte zu deaktivieren und volle … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,2557],"tags":[6296,3288],"class_list":["post-308989","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-server","tag-security","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308989","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=308989"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/308989\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=308989"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=308989"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=308989"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}