ZURÜCK ZU NACHRICHTEN
Eilmeldung

Cyberkriminelle nutzen widerrufenen EnCase-Treiber in fortschrittlichem EDR-Killer-Tool

3 Min. LesezeitQuelle: BleepingComputer

Sicherheitsforscher entdecken ein neues EDR-Killer-Tool, das einen legitimen, aber widerrufenen Kernel-Treiber von Guidance Software missbraucht. Erfahren Sie, wie Angreifer Schutzmechanismen umgehen.

Angreifer nutzen widerrufenen Forensik-Treiber in EDR-Killer-Tool

Sicherheitsforscher haben ein neues EDR-Killer-Tool (Endpoint Detection and Response) identifiziert, das einen legitimen, aber widerrufenen signierten Kernel-Treiber der Guidance Software EnCase-Forensiksoftware ausnutzt. Das Tool, das entwickelt wurde, um Erkennung zu umgehen und Sicherheitsmaßnahmen zu deaktivieren, unterstreicht einen wachsenden Trend von Living-off-the-Land (LotL)-Angriffen, bei denen vertrauenswürdige Softwarekomponenten missbraucht werden.

Wichtige Details des Angriffs

  • Herkunft des Treibers: Das Tool missbraucht den EnCase-Kernel-Treiber encase.sys, der digital signiert, aber vom Hersteller 2022 nach Missbrauchsberichten widerrufen wurde.
  • EDR-Killer-Funktionalität: Die Malware durchsucht 59 Sicherheitsprodukte, darunter EDR-, Antiviren- und Überwachungstools, und versucht, deren Prozesse zu beenden oder Dienste zu deaktivieren.
  • Angriffsvektor: Der Treiber wird über Bring Your Own Vulnerable Driver (BYOVD)-Techniken geladen, wodurch die Windows Driver Signature Enforcement (DSE)-Schutzmechanismen umgangen werden.
  • Erkennungsumgehung: Durch die Verwendung eines signierten (wenn auch widerrufenen) Treibers nutzen Angreifer das Vertrauen in legitime Software, um Kernel-Level-Operationen unerkannt durchzuführen.

Technische Analyse des Exploits

Der encase.sys-Treiber, ursprünglich für Low-Level-Datenträgerzugriff in forensischen Untersuchungen entwickelt, enthält Funktionen, die direkte Speichermanipulation ermöglichen. Angreifer nutzen diese Fähigkeiten, um:

  • Laufende Prozesse aufzuzählen und Sicherheits-Tools zu identifizieren.
  • Prozesse zu beenden oder auszusetzen, die mit EDR, AV und Logging-Lösungen verbunden sind.
  • Kernel-Strukturen zu modifizieren, um die Erkennung durch Sicherheitssoftware zu umgehen.

Die hier verwendete BYOVD-Technik ist besonders besorgniserregend, da sie Windows-Sicherheitsmechanismen umgeht, die normalerweise nicht signierte Treiber blockieren. Obwohl Microsoft die Signatur des Treibers widerrufen hat, können Angreifer ihn dennoch auf Systemen laden, auf denen die Treibersignaturprüfung deaktiviert ist oder die über verwundbare Boot-Konfigurationen verfügen.

Auswirkungen auf Sicherheitsoperationen

Der Einsatz dieses EDR-Killer-Tools birgt erhebliche Risiken für die Unternehmenssicherheit:

  • Deaktivierung kritischer Schutzmaßnahmen: Durch die Neutralisierung von EDR- und AV-Tools können Angreifer Ransomware ausführen, Daten exfiltrieren oder laterale Bewegungen ohne Erkennung durchführen.
  • Herausforderungen bei der Persistenz: Kernel-Level-Zugriff ermöglicht es Angreifern, Persistenz auch nach Systemneustarts aufrechtzuerhalten.
  • Forensische Blindstellen: Die Fähigkeit des Tools, Logging- und Überwachungstools zu deaktivieren, verschleiert Angriffsspuren und erschwert die Incident Response.

Empfehlungen zur Abwehr und Reaktion

Sicherheitsteams sollten folgende Maßnahmen ergreifen, um sich gegen diese Bedrohung zu schützen:

  1. Bekannte bösartige Treiber blockieren

    • Treiber-Blocklisten über Windows Defender Application Control (WDAC) oder Microsoft Defender for Endpoint einsetzen, um das Laden widerrufener Treiber wie encase.sys zu verhindern.
    • Ungewöhnliche Treiberladeereignisse in Endpunkt-Logs überwachen.

  2. Treiber-Signaturprüfung erzwingen

    • Sicherstellen, dass Secure Boot und Driver Signature Enforcement aktiviert sind, um die Ausführung nicht signierter oder widerrufener Treiber zu verhindern.

  3. Endpoint-Überwachung verbessern

    • Verhaltensbasierte Erkennung nutzen, um Prozesse zu identifizieren, die versuchen, Sicherheitssoftware zu beenden oder Kernel-Speicher zu modifizieren.
    • EDR-Lösungen mit Kernel-Level-Sichtbarkeit einsetzen, um verdächtige Treiberaktivitäten zu erkennen und zu blockieren.

  4. Vorbereitung auf Incident Response

    • Playbooks für BYOVD-Angriffe entwickeln, einschließlich Schritte zur Isolierung betroffener Systeme und Wiederherstellung vertrauenswürdiger Treiber.
    • Threat Hunting nach Anzeichen für deaktivierte Sicherheitstools oder unautorisierte Treiberinstallationen durchführen.

Fazit

Dieser Angriff unterstreicht die zunehmende Raffinesse von EDR-Umgehungstechniken, insbesondere den Missbrauch von signierten, aber widerrufenen Treibern. Sicherheitsteams müssen Endpoint-Schutzmaßnahmen verstärken, Treiber-basierte Bedrohungen überwachen und sich auf schnelle Reaktionen vorbereiten, um die Risiken solcher Tools zu mindern.

Weitere Details finden Sie im Originalbericht von BleepingComputer.

Teilen

TwitterLinkedIn