Startseite > Security > Malware in Treibern mit gültigen Zertifikaten

Mandiant, SentinelOne und Sophos warnen

Malware in Treibern mit gültigen Zertifikaten

20. Dezember 2022, 7:00 Uhr | Wilhelm Greiner

Der Code-Zertifizierungsprozess in der schematischen Übersicht.

Googles Security-Truppe Mandiant ist bei einem Incident-Response-Einsatzes auf einen mit Schadcode infizierten, aber vorgeblich legitimen Treiber gestoßen: Der Treiber war von Microsoft signiert und erschien damit vertrauenswürdig. Ziel der Angreifer war es offenbar, die EDR-Software (Endpoint Detection and Response) auf den Zielrechnern zu deaktivieren und so den Angriff zu verschleiern. Diese Taktik ist laut Mandiant nicht neu, man habe sie aber erstmals im Rahmen eines gezielten Angriffs beobachtet. Auch SentinelOne und Sophos warnen vor diesem Vorgehen.

Eigentlich dienen digitale Zertifikate für Software dazu, die Anwenderschaft vor Schadcode zu schützen – eigentlich. Doch im Laufe von Ermittlungen, so Mandiant, habe man kürzlich mehrere eigenständige Malware-Familien entdeckt, die mit verschiedenen Angreifergruppen in Verbindung stehen und die alle mit Microsoft-Zertifikaten digital signiert waren. Die Security-Fachleute vermuten, dass eine Gruppierung existiert, die verschiedenen Angreifern beim Signieren von Malware hilft. Den analysierten Angriff schreibt Mandiant der Gruppe UNC3944 zu, die seit mindestens Mai 2022 aktiv ist.

Mandiant hat bei dieser Analyse mit SentinelOne zusammengearbeitet. SentinelOnes DFIR-Team (Digital Forensics and Incident Response) beobachtete bei mehreren kürzlich durchgeführten Untersuchungen einen Bedrohungsakteur, der einen von Microsoft signierten manipulierten Treiber verwendete, um Sicherheitsschranken zu umgehen. Das Ziel war es laut den SentinelOne-Forschern, verschiedene Prozesse auf den Zielendpunkten zu steuern, anzuhalten und zu beenden. In einigen Fällen zielte der Angreifer darauf ab, letztlich SIM-Swapping-Services (Identitätsdiebstahl durch Austausch von SIM-Karten) anzubieten.

Die Forscher haben herausgefunden, dass prominente Bedrohungsakteure rechtmäßig signierte Microsoft-Treiber für aktive Angriffe auf verschiedene Unternehmen missbrauchen. Die Untersuchungen führten laut SentinelOne zur Entdeckung der Malware Poortry und Stonestop, die Antivirus- und EDR-Prozesse beenden sollen. Dies habe man erstmals im Oktober 2022 an Microsofts Security Response Center (MSRC) berichtet.

In diesem Jahr waren die Angreifer nach SentinelOnes Angaben an einer Reihe von Angriffen beteiligt, die sich vor allem gegen BPO- (Business Process Outsourcing) und TK-Unternehmen richteten. Weitere Ziele waren die Bereiche Unterhaltung, Transport, MSSP (Managed Security Service Providers), Finanzen und Kryptowährungen. SentinelLabs, die Forschungsabteilung von SentinelOne, hat beobachtet, dass ein anderer Bedrohungsakteur ebenfalls einen ähnlichen von Microsoft signierten Treiber verwendet hat, um ein Ziel in der Medizinbranche zu attackieren. Dies deute darauf hin, verschiedene Akteure dieses Vorgehen in größerem Umfang nutzen.