Sicherheitsforscher haben ein besorgniserregendes Muster in den neuesten Ransomware-Kampagnen identifiziert: Akteure wie jene, die mit Qilin und Warlock verbunden sind, verwenden die Technik, die als bringen Sie Ihren eigenen verletzlichen Fahrer (BYOVD) die Verteidigung der engagierten Teams zu stillen. Die Analyse von Cisco Talos und Trend Micro zeigt, dass diese Gruppen neben groben Angriffen die Buchhaltungstechnik, die Speichersteuerung und die Verwendung von legitimen, aber verletzlichen Controllern kombinieren, um Kernel-Privilegien zu erreichen und Schutzlösungen zu deaktivieren.
In dem Fall, der Qilin zugeschrieben wird, erkannte Talos die Anwesenheit einer bösartigen DLL geladen über DLL-Seitenladung unter dem Namen "msimg32.dll". Diese DLL fungiert als erstes Ladegerät, das die Umgebung für eine zweite Komponente vorbereitet - ein "EDR Killer" - das auf dem Ladegerät selbst verschlüsselt wird. Die endgültige Ausführung erfolgt in voller Erinnerung so vermeiden, viele der klassischen Artefakte zu verlassen, die die Erkennung erleichtern. Das Ladegerät neutralisiert auch die Haken im Benutzerraum, unterdrückt die Ereignisverfolgung für Windows- (ETW)-Ereignisse und Masken ruft zu APIs, so dass der Entschlüsselungs- und Ladevorgang fast unbemerkt ist.
Sobald die EDR-Vernichtungs-Payload bereit ist, laden die Angreifer zwei Treiber: eine sogenannte rwdrv.sys (eine Version von ThrottleStop.sys), die zum Zugriff auf physischen Speicher dient und auf der Kernelebene arbeitet, und eine andere hlpdrv.sys, deren Zweck es ist, Prozesse zu beenden und deaktivieren mehr als 300 EDR-Controller von vielen Lieferanten. Diese Kombination von Techniken ermöglicht es Ihnen, die meisten der Host-Schutz zu deaktivieren, bevor Sie die ansomware laufen. Talos hat dokumentiert, wie die Komponente, die die EDRs töten soll, bereits vor dem Laden des zweiten Treibers Überwachungsnachrufe auslöst, um Störungen bei Prozessabschlüssen zu vermeiden.
Die gleiche Philosophie der Verwendung von Fehler-Controllern wurde in Operationen mit Warlock (auch bekannt als Water Manaul) gesehen, die auch unpatched Microsoft SharePoint Servern ausnutzt und aktualisiert sein Tool-Kit für Persistenz, laterale Bewegung und Evasion. Um den dauerhaften Zugang zu erhalten und Kontroll- und Kontrollkanäle zu etablieren, haben die Betreiber legitime Nutzen und Lösungen verwendet: TightVNC für persistente Fernsteuerung, PsExec, um seitlich zu bewegen, Velociraptor als C2-Tool, Visual Studio Code und Cloudflare Tunnel für Tuning-Kommunikation, Yuze für Intranet und Proxy inverse Penetration, und Rone für Exfiltering-Daten. Auf der Fahrerfront änderte sich Warlock in seinen jüngsten Kampagnen zu einem anfälligen NSec-Treiber ("NSecKrnl.sys") und ersetzte andere bisher verwendete Treiber.
Dieser Ansatz ist in der Theorie nicht neu, aber seine Wirksamkeit liegt in der Kombination von realen Faktoren: unterschriebene Fahrer, die ausnutzbare Schwachstellen, die Fähigkeit des Angreifers, legitime Binäre zu laden und umbenennen, und unzureichende Kontrollen in der Steuerung von Fahrern auf organisatorischer Ebene. BYOVD nutzt die dünne Linie zwischen legitimer Systemfunktionalität und der Fähigkeit von Angreifern, mit Kernel-Privilegien zu arbeiten. die die Erkennung und Minderung sehr schwierig macht, wenn es keine spezifischen Kontrollen gibt.
Die von Unternehmen wie CYFIRMA und Cynet bereitgestellten Metriken zeigen, dass Qilin besonders aktiv war, wobei ein erheblicher Teil der in bestimmten Gebieten gemeldeten Vorfälle erfasst wird. Talos stellt auch fest, dass im Durchschnitt Ransomware-Verschlüsselung auftritt etwa sechs Tage nach der ersten Teilung, ein Fenster, das Angreifer verwenden, um ruhig zu bewegen, erhöhen Privilegien und bereiten die destruktive Phase. Diese Marge unterstreicht die Bedeutung des Erkennens anormaler Aktivitäten in den frühen Phasen des Engagements und der Kontrolle, die die Belastung potenziell gefährlicher Fahrer verhindern.
Was kann eine Organisation tun, um dieses Risiko zu reduzieren? Zuerst strenge Treiberrichtlinien auferlegen: nur Treiber, die von explizit zuverlässigen Redakteuren unterzeichnet wurden, erlauben und jede Treiberinstallation prüfen. In Windows-Umgebungen ist es angezeigt, die von Microsoft veröffentlichten Empfehlungen zu Signatur- und Kernel-Richtlinien zu überprüfen und umzusetzen sowie Ereignisse im Zusammenhang mit der Installation und dem Laden von Treibern zu überwachen, um verdächtige Versuche zu identifizieren. Eine weitere Verteidigungslinie besteht darin, das Patch-Management zu verschärfen: Sowohl das Betriebssystem als auch Sicherheitslösungen mit Kernel-Level-Komponenten müssen auf dem neuesten Stand gehalten werden, um zu verhindern, dass ein legitimer Fahrer mit Sicherheitslücken zu einem Angriffswerkzeug wird.
Über die Hygiene der Software hinaus ist es wichtig, die Sichtbarkeit über den Kernel und Aktivitäten im Speicher zu erhöhen. Monitoring-Tools, die Änderungen in der Integrität des Kernels, das Auftreten von unbefugten Treibern und die anormale Verwendung von spur- oder telemetriebezogenen APIs aufzeichnen, können Anzeichen von BYOVD erkennen, bevor der Angreifer die Verteidigung neutralisieren kann. Die Angriffsfläche sollte auch durch strenge Zugriffskontrollen auf Konten mit Privilegien und Früherkennungsmechanismen für Seitenbewegungen und Exfiltration reduziert werden.
Response-Teams und Administratoren sollten berücksichtigen, dass viele der von Angreifern genannten Werkzeuge legitime Software für schädliche Zwecke verwendet werden. Daher bedeutet die bloße Präsenz von Diensten wie PsExec, TightVNC oder Rclone allein keine schlechte Praxis, aber ihre unerwartete Verwendung in einer produktiven Umgebung muss Alarme und Analyse auslösen. Die Kombination aus kontinuierlicher Überwachung, Fahrerführung und einem Reaktionsverfahren, das die Möglichkeit beinhaltet, Gastgeber schnell zu isolieren, ist das praktische Rezept, um Auswirkungen zu minimieren.
Die Forschungs- und Öffentlichkeitsempfehlungen von Herstellern und Fachagenturen stehen zur weiteren Diskussion über technische Aspekte und Minderungsleiter zur Verfügung. Cisco Talos und Trend Micro haben Analyse auf diesen Kampagnen veröffentlicht; außerdem hält Microsoft technische Dokumentation über die Ereignisverfolgung für Windows- und Treiber-Signaturrichtlinien, die für die Gestaltung geeigneter Kontrollen nützlich sind. Zusätzliche Ressourcen wie die offiziellen Seiten von Projekten und Werkzeugen (Velociraptor, Rclone, TightVNC) helfen zu verstehen, wie Angreifer legitime Gewinne in ihren Angriffsketten nutzen.
Die Schlüsselstunde Es ist klar: Angreifer müssen nicht immer komplexe Exploits von Kratzern entwickeln, wenn sie mit ihnen einen verletzlichen Fahrer bringen können, der als Hebel arbeitet. Schützen Sie den Kernel und die Kontrolle, welche Low-Level-Software in der Infrastruktur implementiert werden kann, sollten Prioritäten in jeder modernen Verteidigungsstrategie gegen Ransomware sein. Die Kombination von Fahrer-Governance, Speichererkennung und schnelle Reaktion auf anormale Aktivität ist, was in der Praxis das Fenster schließen kann, dass Gruppen wie Qilin und Warlock ausnutzen.
Nützliche Quellen zur Erweiterung und Umsetzung dieser Empfehlungen: Cisco Talos' technischer Blog ( blog.com), das Trend Micro Research Centre ( trendmicro.com / forschung), Microsoft-Dokumentation zur Ereignisverfolgung für Windows ( Lernen.microsoft.com - ETW) und zur Unterschriftsregelung ( lernen) Die Velociraptor-Seite ( velodex.com / velocraptor), das Projekt Rclone ( Rclone.org) und der offizielle Download von PSExec in Sysinternals ( Lernen.microsoft.com - PsExec)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...