Das Terminator Tool greift via BYOVD gezielt Schwachstellen an und feiert ein Comeback. | The Terminator tool attacks specific vulnerabilities via BYOVD and makes a comeback. |
---|---|
Das Terminator-Tool und seine Varianten haben noch lange nicht ausgedient, wie der Bericht „It’ll be back: Attackers still abusing Terminator tool and variants„ der Sophos-Sicherheitsspezialisten Andreas Klopsch und Matt Wixey zeigt. BYOVDs (Bring Your Own Vulnerable Driver) stehen als EDR-Killer bei den Bedrohungsakteuren nach wie vor hoch im Kurs. Ein Grund dafür ist, dass es sich dabei um einen Angriff auf Kernel-Ebene handelt, der Cyberkriminellen ein breites Spektrum an Möglichkeiten bietet – vom Verstecken von Malware über das Ausspähen von Anmeldedaten bis hin zum Versuch, EDR-Lösungen zu deaktivieren. zusammengefasst. Bedrohungsakteure haben die Qual der Wahl, wenn es um die Auswahl anfälliger Treiber geht. Auf loldrivers.io, einem Open-Source-Repository für anfällige Treiber und entsprechende Signaturen und Hashes, sind 364 Einträge mit der Bezeichnung „anfälliger Treiber“ aufgeführt. Möglicherweise ist dies der Grund dafür, dass BYOVD-Angriffe, die früher nur hochentwickelten Bedrohungsakteuren vorbehalten waren, in den letzten Jahren bei Ransomware-Betreibern und weniger erfahrenen Angreifern immer beliebter geworden sind. Treiberschleusen sind keine Frage des cyberkriminellen Könnens mehr BYOVD ist eine Angriffsklasse, bei der Bedrohungsakteure bekannte und gleichzeitig verwundbare Treiber in einen kompromittierten Computer einschleusen, um Rechte auf Kernel-Ebene zu erlangen. Ein weiterer möglicher Grund für die anhaltende Beliebtheit von BYOVD bei technisch weniger versierten Cyberkriminellen ist die Tatsache, dass sie die benötigten Kits und Tools in kriminellen Foren quasi von der Stange kaufen können. Eines dieser Tools erregte im Mai 2023 besondere Aufmerksamkeit, als der bekannte Bedrohungsakteur “spyboy“ im russischsprachigen Ransomware-Forum RAMP ein Tool namens Terminator anbot. Das Tool sollte zwischen 300 und 3.000 Dollar kosten und 24 Sicherheitsprodukte deaktivieren können. Wie sich Unternehmen schützen können Die Erkennung des Missbrauchs von anfälligen Treibern ist eine einzigartige Herausforderung für die Sicherheitsbranche. Zwar sind Bemühungen zur Erstellung von Verzeichnissen bekannter anfälliger Treiber, wie z. B. loldrivers.io, sicherlich nützlich, doch darf nicht vergessen werden, dass diese Treiber legitim und für das Betriebssystem oder unternehmenskritische Dienste und Anwendungen von entscheidender Bedeutung sein können. Sie pauschal und ohne sorgfältige Prüfung zu blockieren, kann zeitaufwändig und kontraproduktiv sein und zu unvorhergesehenen Problemen für Unternehmen führen. Ein rein reaktiver Ansatz reicht daher in der Regel nicht aus, um dieses Problem zu lösen, zumal es so viele bekannte anfällige Treiber gibt – und potenziell noch mehr, die Zero-Day-Schwachstellen enthalten.
Es ist jedoch relativ selten, dass Bedrohungsakteure legitime Treiber mit Zero-Day-Schwachstellen bereitstellen. In den meisten Fällen sind die Treiber und ihre Schwachstellen bekannt und dokumentiert, wie es hier der Fall ist (obwohl sie möglicherweise gepackt, verschleiert oder optimiert wurden, um eine statische Erkennung zu vermeiden). Es kann sich also lohnen, sich über anfällige Treiber auf dem Laufenden zu halten und alle Treiber, die Sie noch nicht installiert haben, auf die Blockliste zu setzen. Viele der Sicherheitsanbieter auf der spyboy-Liste, darunter auch Sophos, haben sofort gehandelt, um Varianten der Treiber zu untersuchen und Schutzmaßnahmen zu entwickeln. Sophos empfiehlt vier wichtige Schritte, um sich vor BYOVD-Attacken zu schützen:
| The Terminator tool and its variants are far from obsolete, according to the report „It’ll be back: Attackers still abusing Terminator tool and variants“ by Sophos security researchers Andreas Klopsch and Matt Wixey. BYOVDs (Bring Your Own Vulnerable Driver) are still very popular with threat actors as EDR killers. One reason is that it is a kernel-level attack that gives cybercriminals a wide range of options – from hiding malware, to sniffing credentials, to attempting to disable EDR solutions. Threat actors are spoiled for choice when it comes to selecting vulnerable drivers. On loldrivers.io, an open source repository for vulnerable drivers and their signatures and hashes, there are 364 entries labeled „vulnerable driver“. This may be why BYOVD attacks, once the domain of sophisticated threat actors, have become increasingly popular among ransomware operators and less experienced attackers in recent years. Driver locks are no longer a matter of cybercriminal skill BYOVD is a class of attack in which threat actors inject known and vulnerable drivers into a compromised computer to gain kernel-level privileges. Another possible reason for the continued popularity of BYOVD among less tech-savvy cybercriminals is the fact that they can purchase the necessary kits and tools off the shelf on criminal forums. One such tool attracted particular attention in May 2023, when the well-known threat actor „spyboy“ offered a tool called Terminator on the Russian-language ransomware forum RAMP. The tool was said to cost between $300 and $3,000 and be able to disable 24 security products. How businesses can protect themselves Detecting the misuse of vulnerable drivers is a unique challenge for the security industry. While efforts to create directories of known vulnerable drivers, such as loldrivers.io, are useful, it’s important to remember that these drivers may be legitimate and critical to the operating system or business-critical services and applications. Blocking them across the board without careful consideration can be time-consuming, counterproductive, and lead to unforeseen problems for organizations. A purely reactive approach is usually not enough to solve this problem, especially since there are so many known vulnerable drivers-and potentially even more that contain zero-day vulnerabilities. However, it is relatively rare for threat actors to deploy legitimate drivers with zero-day vulnerabilities. In most cases, the drivers and their vulnerabilities are known and documented, as is the case here (although they may have been packaged, obfuscated, or optimized to avoid static detection). So it may be worth keeping up to date with vulnerable drivers, and adding any drivers you haven’t installed to your blocklist. Many of the security vendors on the Spyboy list, including Sophos, have taken immediate action to investigate driver variants and develop defenses. Sophos recommends four key steps to protect against BYOVD attacks
|
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de