Digital Eliteboard

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwert bleiben

PC & Internet RobinHood: Ransomware bringt eigenes Exploit für Infektionen mit

josef.13

Moderator
Teammitglied
Mitglied seit
1. Juli 2009
Beiträge
21.211
Erhaltene Reaktionen
24.613
Sicherheitsforscher von SophosLabs weisen in einem aktuellen Bericht vom 07. Februar 2020 auf eine neuartige Ransomware-Angriffsmethode mittels RobinHood hin. Demzufolge nutzen die Ransomware-Erpresser einen legitimen, digital signierten Hardwaretreiber von Gigabyte als Hebel, um einen zweiten, nicht signierten Treiber in Windows zu laden.

Der zweite Treiber versucht dann, die Prozesse der Antivirensoftware zu deaktivieren. Dadurch kann der Manipulationsschutz der Malware umgangen werden. Der Weg ist nun frei für die Schadsoftware und führt zum eigentlichem Ziel, dem Verschlüsseln von Dateien. Gemäß den Sicherheitsforschern können dadurch auch vollständig gepatchte Computer, die keinerlei bekannte Schwachstellen haben, von dieser Attacke betroffen sein.

RobinHood: Malware verschlüsselt PCs, Erpresser fordern Bitcoin zum Entsperren
RobinHood ist eine Malware, die die Festplatte des Opfers mit der RSA + AES-Verschlüsselungskombination verschlüsselt und von dem Opfer eine Bitcoin-Zahlung zwecks Datenwiederherstellung verlangt. Das Schadprogramm wurde ursprünglich in Googles Programmiersprache
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
erstellt und zu einer 32-Bit-Programmdatei kompiliert.

robin-hood-4562123_1920-1024x715.jpg

Michael Veit, IT-Security-Experte bei Sophos, führt dazu aus:
„Dies ist das erste Mal, dass wir Ransomware beobachten, die einen von Microsoft mitsignierten und dennoch anfälligen Treiber nutzt, um den Windows Kernel direkt im Speicher zu überschreiben, einen eigenen, nicht signierten Treiber zu laden und dann Sicherheitsanwendungen aus dem Kernel zu entfernen. Die von den SophosLabs in beiden Fällen aufgedeckte Ransomware nennt sich selbst RobinHood und hat bereits Ende letzten Jahres für Schlagzeilen gesorgt. Bei Sophos haben wir zum Schutz vor der Attacke den ungewöhnlichen Schritt unternommen, die anfällige Gigabyte-Treiberdatei gdrv.sys als bösartig zu klassifizieren, wenn sie im Kontext dieses Angriffs installiert wird. Dazu gehört die Verwendung mit den Pfaden desktop\robin\gdrv.sys oder \windows\temp\gdrv.sys.“
Cyberkriminelle nutzen neue Angriffsmethode für beabsichtigte Infektion
Der ursprünglich verwendete Treiber, der als Ausgangspunkt des Angriffs dient, ist keine Schadsoftware, sondern Teil einer offiziellen Softwarekomponente des taiwanesischen Mainboard-Herstellers Gigabyte. Daher ist er vom Hersteller digital signiert. Die Signatur wird von Microsoft selbst als offiziell bestätigt. Zwar ist das Softwarepaket mit dem Treiber veraltet. Jedoch haben weder Microsoft noch Verisign, deren Code-Signatur-Mechanismus man zur digitalen Signatur des Treibers verwendet hat, das Signatur-Zertifikat widerrufen. Die Authenticode-Signatur ist demnach weiterhin gültig. Folglich wird Windows den Treiber wegen der Signatur laden.



Gelangt die Ransomware RobinHood auf den Computer, installieren die Angreifer zunächst den signierten Kerneltreiber. Anschließend nutzen die Cyberkriminellen eine seit 2018 bekannte Schwachstelle (CVE-2018-19320) im legitimen Treiber aus, um Kernelzugriff zu erlangen. Die Signaturüberprüfung von Windows wird in einem weiteren Schritt vorübergehend außer Kraft gesetzt. Nun ist der Weg frei, um den eigenen, nicht signierten und böswilligen Kerneltreiber zu laden, der dann die Antivirensoftware deaktiviert. Gleich nach der Installation verschlüsselt RobinHood die Daten und fordert das Lösegeld ein.

Quelle; tarnkappe
 
Ihre E-Mail-Adresse ist nicht öffentlich sichtbar. Wir werden Ihre E-Mail nur verwenden, um Sie zu kontaktieren, um Ihren Beitrag zu bestätigen.
Oben