Von Microsoft signierter Treiber für gezielte Attacke verwendet

Illustration: Absmeier

Mandiant hat im Rahmen eines Incident-Response-Einsatzes bei einer kompromittierten Organisation beobachtet, dass ein bösartiger Treiber eingesetzt wurde, um die Endpoint-Detection-and-Response-Software auf Computern des Opfers zu deaktivieren und so den Angriff zu verschleiern. Diese Taktik ist nicht völlig neu, wurde aber erstmalig im Rahmen eines gezielten Angriffs beobachtet. Eine weitere Besonderheit dieses Falles: Der Treiber wurde von Microsoft signiert und erschien dadurch besonders vertrauenswürdig.

Im Laufe der Ermittlungen entdeckte Mandiant mehrere eigenständige Malware-Familien, die mit verschiedenen Angreifergruppen in Verbindung stehen und alle mit Microsoft-Zertifikaten digital signiert wurden. Es wird vermutet, dass eine Malware-Signing-Service-Gruppe existiert, die verschiedenen Hackern beim Signieren von Malware hilft. Den analysierten Angriff verübte die finanziell motivierte Bedrohungsgruppe UNC3944, die seit mindestens Mai 2022 aktiv ist.

Anzeige

 

Mandiant hat bei dieser Analyse mit SentinelOne zusammengearbeitet. Verteidigern wird empfohlen, zusätzlich zu den Hinweisen von Microsoft, auch die Tipps im Abschnitt »Hunting and Blocking« des Blogbeitrags von Mandiant zu beherzigen.

 

Kurzfassung von Microsoft:

Microsoft wurde vor kurzem darüber informiert, dass Treiber, die vom Windows Hardware-Entwicklerprogramm von Microsoft zertifiziert wurden, in böswilliger Weise für Post-Exploitation-Aktivitäten verwendet wurden. Microsoft hat seine Untersuchung abgeschlossen und festgestellt, dass sich die Aktivitäten auf den Missbrauch mehrerer Konten des Programms für Entwickler beschränken und dass keine Kompromittierung festgestellt wurde. Wir haben die Verkäuferkonten der Partner gesperrt und Sperrerkennungen implementiert, um die Kundschaft vor dieser Bedrohung zu schützen.

 

Details:

Microsoft wurde darüber informiert, dass Treiber, die vom Windows Hardware-Entwicklerprogramm von Microsoft zertifiziert wurden, in böswilliger Weise für Post-Exploitation-Aktivitäten verwendet wurden. Bei diesen Angriffen hatten die Angreifenden bereits vor der Verwendung der Treiber Administratorrechte auf den kompromittierten Systemen erlangt. Wir wurden am 19. Oktober 2022 von SentinelOne, Mandiant und Sophos über diese Aktivität informiert und haben daraufhin eine Untersuchung veranlasst. Die Untersuchung ergab, dass mehrere Entwicklerkonten für das Microsoft Partner Center bösartige Treiber einreichten, um eine Microsoft-Signatur zu erhalten. Ein erneuter Versuch, am 29. September 2022 einen bösartigen Treiber zum Signieren einzureichen, führte Anfang Oktober zur Sperrung der Verkäuferkonten.

Die laufende Analyse des Microsoft Threat Intelligence Center (MSTIC) zeigt, dass die signierten Treiber wahrscheinlich dazu verwendet wurden, um nach dem Exploit ein Eindringen zu erleichtern, z. B. die Bereitstellung von Ransomware.

Microsoft hat Windows-Sicherheitsupdates (siehe Tabelle »Sicherheitsupdates«) veröffentlicht, die das Zertifikat für betroffene Dateien widerrufen und die Verkäuferkonten der Partner gesperrt. Darüber hinaus hat Microsoft Sperrerkennungen (Microsoft Defender 1.377.987.0 und neuer) implementiert, um Kunden vor rechtmäßig signierten Treibern zu schützen, die böswillig nach dem Exploit verwendet wurden.

Microsoft arbeitet mit Partnern des Microsoft Active Protections Program (MAPP) zusammen, um bei der Entwicklung weiterer Erkennungen Hilfe zu leisten und unsere gemeinsame Kundschaft besser zu schützen. Das Microsoft Partner Center arbeitet ferner an langfristigen Lösungen, um diese betrügerischen Praktiken zu adressieren und zukünftige Auswirkungen auf die Kundschaft zu verhindern.

 

Empfohlene Maßnahmen

Microsoft empfiehlt allen Kund*innen, die neuesten Windows-Updates zu installieren und sicherzustellen, dass ihre Antiviren- und Endpunkt-Erkennungsprodukte mit den neuesten Signaturen ausgestattet und in der Lage sind diese Angriffe zu verhindern.