Hacker haben einen Weg gefunden, Sie zu hacken, den Sie nie erwartet hätten

Eskere Guru

Eine Sicherheitslücke hat es einer Ransomware -Bande ermöglicht, effektiv zu verhindern, dass Antivirus-Programme ordnungsgemäß auf einem System ausgeführt werden.

Wie Bleeping Computer berichtet , nutzt die Ransomware-Gruppe BlackByte eine neu entdeckte Methode im Zusammenhang mit dem RTCore64.sys-Treiber, um mehr als 1.000 legitime Treiber zu umgehen.

Eine Darstellung eines Hackers, der mithilfe von Code in ein System eindringt.
Getty Images

Sicherheitsprogramme, die auf solche Treiber angewiesen sind, sind daher nicht in der Lage, eine Verletzung zu erkennen, wobei die Technik selbst von Forschern als „Bring Your Own Driver“ bezeichnet wird.

Sobald die Treiber von den Hackern ausgeschaltet wurden, können sie aufgrund des Fehlens von Multiple Endpoint Detection and Response (EDR) unter dem Radar operieren. Die verwundbaren Treiber können eine Überprüfung über ein gültiges Zertifikat bestehen und verfügen auch auf dem PC selbst über hohe Privilegien.

Forscher des Cybersicherheitsunternehmens Sophos beschreiben detailliert, wie der MSI-Grafiktreiber, auf den die Ransomware-Gang abzielt, E/A-Steuercodes bietet, auf die über Benutzermodusprozesse zugegriffen werden kann. Dieses Element verstößt jedoch gegen die Sicherheitsrichtlinien von Microsoft zum Kernel-Speicherzugriff.

Aufgrund des Exploits können Bedrohungsakteure Code innerhalb des Kernelspeichers eines Systems frei lesen, schreiben oder ausführen.

BlackByte ist natürlich bestrebt, nicht entdeckt zu werden, um seine Hacks nicht von Forschern analysieren zu lassen, erklärte Sophos – das Unternehmen wies auf Angreifer hin, die nach Debuggern suchen, die auf dem System laufen, und dann beenden.

Darüber hinaus durchsucht die Malware der Gruppe das System nach möglichen Hook-DLLs, die mit Avast, Sandboxie, Windows DbgHelp Library und Comodo Internet Security verbunden sind. Sollten bei der Suche welche gefunden werden, deaktiviert BlackByte seine Funktionsfähigkeit.

Aufgrund der ausgeklügelten Technik, die von den Angreifern verwendet wird, warnte Sophos, dass sie weiterhin legitime Treiber ausnutzen werden, um Sicherheitsprodukte zu umgehen. Zuvor wurde die „Bring Your Own Driver“-Methode von der nordkoreanischen Hacking-Gruppe Lazarus beobachtet, bei der es um einen Dell-Hardwaretreiber ging.

Bleeping Computer hebt hervor, wie Systemadministratoren ihre PCs schützen können, indem sie den anvisierten MSI-Treiber (RTCore64.sys) in eine aktive Sperrliste aufnehmen.

Die Ransomware-Bemühungen von BlackByte kamen erstmals im Jahr 2021 ans Licht, als das FBI betonte, dass die Hackergruppe hinter bestimmten Cyberangriffen auf die Regierung stecke.