Ransomware-Gruppe Cuba – Microsoft verhindert bösartige Treibersignierung

Microsoft unterbindet Signierung bösartiger Treiber

Microsoft sperrte mehrere Konten in seinem Hardware-Entwicklerprogramm, das bösartige Treiber signierte, die von einer Ransomware-Gruppe namens Cuba verwendet wurden, um Sicherheitstools für Endpunkte zu deaktivieren. Die Treiberzertifikate wurden widerrufen und betroffene Treiber befinden sich nunmehr auf einer Sperrliste. Wie die Cyberkriminellen vorgingen und was den Kernel eines Betriebssystems auszeichnet, erfahren Sie in diesem Blogbeitrag.

Die Leistungsfähigkeit von Kernel-Treibern

Der Kernel ist der sensibelste Teil eines Betriebssystems, in dem Code mit den höchsten Privilegien ausgeführt, der die vollständige Kontrolle über den Computer und seine Hardware hat. Um alle Hardwarekomponenten zu kommunizieren und zu steuern, verwendet der Kernel spezielle Codeteile, sogenannte Gerätetreiber, die entweder von Microsoft oder von Hardwarefirmen entwickelt wurden.

In den Tagen von Windows XP waren Rootkits (Root-Level-Malware) eine häufige Bedrohung und nutzten oft böswillige nicht signierte Treiber, aber mit Windows Vista und Windows 7 begann Microsoft, diese Lücke zu schließen, indem es die Überprüfung der Treibersignatur erzwang.

Derzeit unterstützte Versionen von Windows, somit Windows 10 und Windows 11, erlauben Benutzern nicht, einen Kernelmodustreiber zu installieren, der nicht von Microsoft über das Windows-Hardwareentwicklerprogramm digital gegensigniert wurde. Damit der Treiber für die Verteilung über Windows Update geeignet ist, muss er auch von Microsoft zertifiziert werden.

Diese neuen Sicherheitsfunktionen haben die Verwendung bösartiger Treiber zu einem seltenen Ereignis gemacht, aber einige erfahrene Gruppen haben eine Problemumgehung gefunden: das Ausnutzen von Schwachstellen in legitimen und vertrauenswürdigen Treibern. Dadurch entstand ein neues Problem, denn selbst wenn ein Treiberhersteller eine neue Version veröffentlichte, um eine Schwachstelle zu beheben, konnte ein bösartiges Programm nicht daran gehindert werden, eine ältere Version des Treibers auf den Systemen der Benutzer bereitzustellen.

Microsoft hat daraufhin eine Sperrliste für anfällige Treiber erstellt, die jedoch erst mit dem im September 2022 veröffentlichten Windows 11 2022-Update standardmäßig aktiviert ist. Für Windows 10 20H2 und Windows 11 21H2 ist es nur als optionales Update verfügbar. Darüber hinaus wird diese Liste nur ein- oder zweimal pro Jahr aktualisiert, wenn größere Windows-Versionen veröffentlicht werden. Eine andere Möglichkeit, diese Sperrliste anzuwenden, ist die Windows Defender Application Control (WDAC).

Die meisten Angriffe auf Kernel-Treiber haben typischerweise die Form BYOVD (Bring Your Own Vulnerable Driver) angenommen. Jüngste Beispiele sind die Ransomware BlackByte, die einen anfälligen Übertaktungstreiber für Grafikkarten verwendete, und ein anderer Ransomware-Akteur, der einen anfälligen Anti-Cheat-Treiber missbraucht, der vom Softwareherausgeber des Videospiels Genshin Impact erstellt wurde.

Cuba-Ransomware bringt Angriffe auf die nächste Stufe

Die jüngsten Angriffe der Cuba-Ransomware-Gruppe, die ursprünglich Ende September und Oktober beobachtet wurden, stellten eine Eskalation des Missbrauchs von Windows-Kerneltreibern dar, weil sie bösartige Kerneltreiber verwendeten, die sie über einen legitimen Kanal erhalten hatten: Konten des Windows-Hardwareentwicklerprogramms.

„Wir wurden am 19. Oktober 2022 von SentinelOne, Mandiant und Sophos über diese Aktivität informiert und haben anschließend eine Untersuchung dieser Aktivität durchgeführt“, sagte Microsoft in seinem Advisory. „Diese Untersuchung ergab, dass mehrere Entwicklerkonten für das Microsoft Partner Center daran beteiligt waren, bösartige Treiber einzureichen, um eine Microsoft-Signatur zu erhalten. Ein neuer Versuch, am 29. September 2022 einen bösartigen Treiber zum Signieren einzureichen, führte zur Sperrung der Konten der Verkäufer Anfang Oktober.“

Microsoft hat auch Sicherheitsupdates veröffentlicht, die die Zertifikate widerrufen, die zum Signieren der bösartigen Treiber verwendet wurden.

Die Cuba-Ransomware-Gruppe verwendete den Treiber im Rahmen von Post-Exploitation-Aktivitäten in Verbindung mit einer bösartigen Loader-Anwendung, deren Zweck es wahrscheinlich war, die Prozesse von Sicherheitsprodukten vor dem Einsatz der Ransomware zu beenden. Dieses bösartige Dienstprogramm wurde bereits früher beobachtet und Mandiant nannte es im Februar 2022 BURNTCIGAR.

Nachdem die neueste Version des Tools gefunden wurde, die direkt von Microsoft über das Hardwareentwickler- und Treiberzertifizierungsprogramm signiert wurde, durchsuchten die Sophos-Forscher Malware-Datenbanken, einschließlich VirusTotal, nach früheren Versionen. Sie fanden Varianten des Tools und des zugehörigen Treibers, die mit einem Nvidia-Zertifikat signiert waren, das von der Hackergruppe Lapsus$ geleakt wurde, sowie Zertifikate von zwei chinesischen Unternehmen, von denen eines ein Herausgeber von Softwaretools ist, die von Antivirus-Anbietern häufig als potenziell unerwünscht gekennzeichnet werden.

Dies zeigt eine Entwicklung der Taktiken dieser Gruppe im vergangenen Jahr: vom Missbrauch legitimer, aber anfälliger Treiber über den Missbrauch gültiger Codesignaturzertifikate von Herausgebern mit zweifelhafter Herkunft bis hin zur endgültigen Infiltration des Microsoft-Hardwareentwicklerprogramms und der direkten Signierung ihrer Treiber durch Microsoft.

Wenn Sie sich vor den neusten Cyberbedrohungen schützen möchten, sollten Sie stets eine aktuelle Antivirensoftware verwenden. Bei Softwarekaufen24 finden Sie effiziente Lösungen wie Kaspersky Plus 2023 und ESET NOD32 Antivirus 2023 zu einem herausragenden Preis-Leistungs-Verhältnis.