Sicherheitsforscher von SophosLabs weisen in einem aktuellen Bericht vom 07. Februar 2020 auf eine neuartige Ransomware-Angriffsmethode mittels RobinHood hin. Demzufolge nutzen die Ransomware-Erpresser einen legitimen, digital signierten Hardwaretreiber von Gigabyte als Hebel, um einen zweiten, nicht signierten Treiber in Windows zu laden.
Der zweite Treiber versucht dann, die Prozesse der Antivirensoftware zu deaktivieren. Dadurch kann der Manipulationsschutz der Malware umgangen werden. Der Weg ist nun frei für die Schadsoftware und führt zum eigentlichem Ziel, dem Verschlüsseln von Dateien. Gemäß den Sicherheitsforschern können dadurch auch vollständig gepatchte Computer, die keinerlei bekannte Schwachstellen haben, von dieser Attacke betroffen sein.
RobinHood: Malware verschlüsselt PCs, Erpresser fordern Bitcoin zum Entsperren
RobinHood ist eine Malware, die die Festplatte des Opfers mit der RSA + AES-Verschlüsselungskombination verschlüsselt und von dem Opfer eine Bitcoin-Zahlung zwecks Datenwiederherstellung verlangt. Das Schadprogramm wurde ursprünglich in Googles Programmiersprache
Michael Veit, IT-Security-Experte bei Sophos, führt dazu aus:
Der ursprünglich verwendete Treiber, der als Ausgangspunkt des Angriffs dient, ist keine Schadsoftware, sondern Teil einer offiziellen Softwarekomponente des taiwanesischen Mainboard-Herstellers Gigabyte. Daher ist er vom Hersteller digital signiert. Die Signatur wird von Microsoft selbst als offiziell bestätigt. Zwar ist das Softwarepaket mit dem Treiber veraltet. Jedoch haben weder Microsoft noch Verisign, deren Code-Signatur-Mechanismus man zur digitalen Signatur des Treibers verwendet hat, das Signatur-Zertifikat widerrufen. Die Authenticode-Signatur ist demnach weiterhin gültig. Folglich wird Windows den Treiber wegen der Signatur laden.
Gelangt die Ransomware RobinHood auf den Computer, installieren die Angreifer zunächst den signierten Kerneltreiber. Anschließend nutzen die Cyberkriminellen eine seit 2018 bekannte Schwachstelle (CVE-2018-19320) im legitimen Treiber aus, um Kernelzugriff zu erlangen. Die Signaturüberprüfung von Windows wird in einem weiteren Schritt vorübergehend außer Kraft gesetzt. Nun ist der Weg frei, um den eigenen, nicht signierten und böswilligen Kerneltreiber zu laden, der dann die Antivirensoftware deaktiviert. Gleich nach der Installation verschlüsselt RobinHood die Daten und fordert das Lösegeld ein.
Quelle; tarnkappe
Der zweite Treiber versucht dann, die Prozesse der Antivirensoftware zu deaktivieren. Dadurch kann der Manipulationsschutz der Malware umgangen werden. Der Weg ist nun frei für die Schadsoftware und führt zum eigentlichem Ziel, dem Verschlüsseln von Dateien. Gemäß den Sicherheitsforschern können dadurch auch vollständig gepatchte Computer, die keinerlei bekannte Schwachstellen haben, von dieser Attacke betroffen sein.
RobinHood: Malware verschlüsselt PCs, Erpresser fordern Bitcoin zum Entsperren
RobinHood ist eine Malware, die die Festplatte des Opfers mit der RSA + AES-Verschlüsselungskombination verschlüsselt und von dem Opfer eine Bitcoin-Zahlung zwecks Datenwiederherstellung verlangt. Das Schadprogramm wurde ursprünglich in Googles Programmiersprache
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
erstellt und zu einer 32-Bit-Programmdatei kompiliert.Michael Veit, IT-Security-Experte bei Sophos, führt dazu aus:
Cyberkriminelle nutzen neue Angriffsmethode für beabsichtigte Infektion„Dies ist das erste Mal, dass wir Ransomware beobachten, die einen von Microsoft mitsignierten und dennoch anfälligen Treiber nutzt, um den Windows Kernel direkt im Speicher zu überschreiben, einen eigenen, nicht signierten Treiber zu laden und dann Sicherheitsanwendungen aus dem Kernel zu entfernen. Die von den SophosLabs in beiden Fällen aufgedeckte Ransomware nennt sich selbst RobinHood und hat bereits Ende letzten Jahres für Schlagzeilen gesorgt. Bei Sophos haben wir zum Schutz vor der Attacke den ungewöhnlichen Schritt unternommen, die anfällige Gigabyte-Treiberdatei gdrv.sys als bösartig zu klassifizieren, wenn sie im Kontext dieses Angriffs installiert wird. Dazu gehört die Verwendung mit den Pfaden desktop\robin\gdrv.sys oder \windows\temp\gdrv.sys.“
Der ursprünglich verwendete Treiber, der als Ausgangspunkt des Angriffs dient, ist keine Schadsoftware, sondern Teil einer offiziellen Softwarekomponente des taiwanesischen Mainboard-Herstellers Gigabyte. Daher ist er vom Hersteller digital signiert. Die Signatur wird von Microsoft selbst als offiziell bestätigt. Zwar ist das Softwarepaket mit dem Treiber veraltet. Jedoch haben weder Microsoft noch Verisign, deren Code-Signatur-Mechanismus man zur digitalen Signatur des Treibers verwendet hat, das Signatur-Zertifikat widerrufen. Die Authenticode-Signatur ist demnach weiterhin gültig. Folglich wird Windows den Treiber wegen der Signatur laden.
Gelangt die Ransomware RobinHood auf den Computer, installieren die Angreifer zunächst den signierten Kerneltreiber. Anschließend nutzen die Cyberkriminellen eine seit 2018 bekannte Schwachstelle (CVE-2018-19320) im legitimen Treiber aus, um Kernelzugriff zu erlangen. Die Signaturüberprüfung von Windows wird in einem weiteren Schritt vorübergehend außer Kraft gesetzt. Nun ist der Weg frei, um den eigenen, nicht signierten und böswilligen Kerneltreiber zu laden, der dann die Antivirensoftware deaktiviert. Gleich nach der Installation verschlüsselt RobinHood die Daten und fordert das Lösegeld ein.
Quelle; tarnkappe