Eine kürzliche Huntress Untersuchung ergab einen Manöver, der wie déjà vu klingt für jeden, der Sicherheit in Windows folgt, aber das funktioniert weiterhin in der realen Welt: bösartige Akteure nutzten einen alten legitimen EnCase-Treiber, um einen "EDR-Killer" zu erstellen, der in infizierten Teams Dutzende von Sicherheitstools identifizieren und ausschalten kann.
Bevor Sie in Details gehen, sollten Sie sich erinnern, was ein EDR-Killer ist. Dies ist ein schädliches Programm speziell entwickelt, um Endpoints Antwort- und Erkennungslösungen zu deaktivieren oder zu vermeiden. Sie arbeiten in der Regel mit Kernel-Privilegien, denn von dort aus können sie Schutzmechanismen entschärfen und Sicherheitsprozesse beenden, die im Benutzermodus unzugänglich wären. In diesem besonderen Fall die Forscher Huntres sie sahen, wie das schädliche Stück als Firmware-Update-Dienstprogramm verkleidet wurde und geladen einen alten Treiber namens EnPortv.sys, Zugehörigkeit zu EnCase (forensic research product now in OpenText).
Die verwendete Technik ist nicht neu und hat einen Namen: "Bring Your Own Vulnerable Driver" oder BYOVD. Anstatt eine Explosion im aktuellen Kernel zu suchen, führen Angreifer einen rechtlich unterzeichneten, aber verletzlichen Treiber ein - oder mit Funktionen, die Missbrauch erlauben - und verwenden es, um Operationen im Kernel-Modus auszuführen. Malware-Gruppen und Samples haben wiederholt BYOVD ausgenutzt; alte Signaturen, Fahrersignaturverhalten und Ausnahmen in Microsoft-Richtlinien haben diesen Ansatz noch effektiv gemacht. Um die Technik in mehr Tiefe zu verstehen, ist es wert, Analyse und Hintergrundstücke auf BYOVD zu lesen, wie zum Beispiel der ESET-Artikel zum Thema Hier..
Bei der von Huntress beschriebenen Intrusion wurde der erste Zugriff durch engagierte Anmeldeinformationen eines SonicWall SSL VPN erhalten und das Konto hatte keine Multi-Faktor-Authentifizierung. Nach dem Zugriff führten die Angreifer eine intensive interne Umfrage durch - ICMP-Pings, NetBIOS-Umfragen, SMB-Aktivität und SYN-Typ TCP-Bursts - und laut Forschern sollte der Schauspieler wahrscheinlich ansomware einsetzen, obwohl die Kampagne vor der Freigabe der Endbelastung unterbrochen wurde. Der Fall zeigt eine operative Wahrheit: das Fehlen von MFA und die schlechte Überwachung von VPN-Datensätzen sind gemeinsame Eingangstüren für Eindringlinge. Microsoft hat wiederholt die Wirksamkeit von MFA bei der Reduzierung von Verpflichtungen dokumentiert; zum Beispiel beschreibt sein Sicherheitsblog, wie MFA die überwiegende Mehrheit der Rechenschaftsversuche blockiert Hier..
Der zentrale technische Vektor war der EnPortv.sys Treiber, eine Komponente von EnCase. Obwohl sein digitales Zertifikat im Jahr 2006 ausgestellt wurde, abgelaufen im Jahr 2010 und wurde widerrufen, Windows weiterhin seine Last für eine detaillierte Umsetzung des Fahrersignatur-Mechanismus: Die Überprüfung basiert auf kryptografischen Verifikations- und Zeitstempeln, keine Echtzeit-Beratung von Widerrufslisten (CRL) für alle Fälle, und es gibt auch eine Ausnahme, die für Zertifikate vor dem 29. Juli 2015 gilt. Diese Ausnahme, zusammen mit den verschiedenen historischen Signatur-Richtlinien, öffnete die Tür, so dass der Fahrer als falscher OEM-Hardware-Service installiert und registriert werden konnte, dauerhaft resistent gegen Neustarts zu erreichen.
Einmal in Kernel, Malware verwendet die IOCTL-Treiberoberfläche, um das System zu vervollständigen Sicherheits-Service-Prozesse, Vermeidung von Schutzen wie Protected Process Light (PPL). Laut Huntress kommt die Probe mit einer Liste von 59 Zielprozessen - zwischen EDR-Agenten und Antiviren - und führt jede Sekunde eine Abschlussschleife durch, so dass der Killer sie sofort wieder tötet, wenn ein geschützter Prozess neu gestartet wird. Diese Kombination von Beharrlichkeit auf Kernel-Ebene und der Fähigkeit, Systemprozesse zu manipulieren, macht es zu einer kritischen Bedrohung für Umgebungen mit traditionellen EDR-orientierten Kontrollen.
Wenn Sie die technische Analyse lesen möchten, beschreibt der Huntress-Bericht den vollen Fluss, Indikatoren und Mechanismen der Persistenz Hier.. Die öffentliche Pressemitteilung und zusätzliche Abdeckung, wie BlepingComputer Sie helfen, den Vorfall in das breitere Bild des signierten Fahrermissbrauchs zu bringen.
Was kann ein Sicherheitsteam tun, um diese Art von Risiko zu reduzieren? Zuerst müssen wir die direkteste Ursache des Zugriffs angreifen: die Remote Access-Konten. Aktivieren Sie MFA in allen Remote-Zugriffen, überwachen Sie VPN-Protokolle und begrenzen Sie Kontoberechtigungen sind Schritte, die oft den ersten Fortschritt dieser Kampagnen stoppen. Zweitens ist es angebracht, die Vorteile der Minderung zu nutzen, die Microsoft für Treiber und Kernelisolierung bietet: HVCI / Memory Integrity (Teil der "Kernisolation" in Windows) zu aktivieren hilft, die Liste der verletzlichen Treiber, die von Microsoft blockiert werden, anzuwenden; die technische Dokumentation von Virtualization-based Security und HVCI bietet Kontext, wie diese Isolation funktioniert. Hier. und Microsofts Anleitung zu Windows Defender Application Control (WDAC) erklärt, wie zu steuern, welche Binär- und Treiber in einer Flotte erlaubt sind Hier..
Zusätzlich zu HVCI und WDAC gibt es Regeln und Kontrollen in modernen Sicherheitslösungen, um die Exposition gegenüber unterschriebenen Fahrern zu reduzieren, die zurückgenommen oder gestört wurden. Implementieren von Attack Surface Reduction (ASR) Regeln, überwachen Sie die Erstellung von Kernel-Diensten, die OEM / Hardware passieren und bekannte problematische Signaturen blockieren sind Maßnahmen, die Huntress ebenfalls empfiehlt. ASR-Dokumentation in Microsoft Defender for Endpoint ist ein guter Ausgangspunkt für Windows-Umgebungsmanagement-Teams Hier..
Es geht nicht nur um Technologie: Früherkennung von horizontalen Bewegungen und Intelligenz über ungewöhnliche Aktivitäten im internen Netzwerk sind kritisch. Im analysierten Fall können die Eindringlinge ICMP, NetBIOS-Umfragen und lauter SMB-Verkehr durchführen, diese Muster überwachen und auf abnorme Bursts - wie hohe SYN-Raten - aufmerksam machen, bevor der Schauspieler seine Persistenzwerkzeuge einsetzt. Es ist auch wichtig, Antworten vorzubereiten, die die Isolation der betroffenen Segmente und die forensische Überprüfung der exponierten Anmeldeinformationen beinhalten.
Für Teams, die Forensic-Lösungen verwalten oder Drittanbieter-Tools verwenden, die vor Jahren unterzeichnet wurden, ist es angebracht, Inventar und Telemetrie zu überprüfen: Welche Fahrer mit alten Signaturen werden in Ihrem Park eingesetzt? Werden installierte Treiber angezeigt, die als OEM-Komponenten registriert sind und nicht mit echten Hardware übereinstimmen? Block- und Review-Treiber, die vor langer Zeit mit Zertifikaten versehen oder widerrufen wurden, reduziert die Oberfläche für BYOVD-Angriffe. Microsofts Kernel-Mode-Treiber-Signaturrichtlinie und historische Ausnahmen werden in der Dokumentation für Entwickler und Treibersignaturen dokumentiert; Lesen dieser Verordnung hilft zu verstehen, warum alte Zertifikate noch von einigen Windows-Versionen akzeptiert werden Hier..
Dieser Vorfall legt wieder eine wichtige Lektion auf den Tisch: moderne Verteidigungen erfordern Schichten. Nur auf eine EDR ohne starke Zugriffskontrollen zu verlassen, ohne Kernelisolation und ohne Richtlinien, die die unterzeichneten Fahrer einschränken, ist nicht genug. Ein guter Verteidigungsplan kombiniert präventive Kontrollen (MFA, Fahrersignatur und blockierende Richtlinien), Erkennung (Netzwerktelemetrie und Endpunkte) und Reaktion (Verfahren zur Entkopplung, enthaltend und analysieren).
Wenn Sie Windows-Infrastruktur verwalten, überprüfen Sie zuerst die Konten mit Fernzugriff und zwingen MFA. Es bewertet dann die Möglichkeit, HVCI / Memory Integrity zu aktivieren, WDAC / ASR nach Ihrem Risiko einzurichten und das Vorhandensein von historisch signierten Fahrern in Ihren Teams zu auditieren. Für die technischen Details und die Indikatoren für das Vorliegen von Verpflichtungen siehe Huntress Bericht Hier. und für den BYOVD-Kontext ESET-Forschung Hier..
Die gute Nachricht ist, dass die Verteidigungen existieren und verstärken. Die schlechte Nachricht ist, dass die historische Kompatibilität, die legitime Verwendung von forensischen oder Management-Tools und die Komplexität des Fahrer-Ökosystems weiterhin Loopholes bieten, von denen die Angreifer profitieren. Mit einer klaren Fahrerpolitik, einer aktiven Überwachung und einer robusten Zutrittskontrolle wird die Möglichkeit eines Schauspielers, der eine historische Sicherheitslücke in einen verheerenden Vorfall verwandelt, deutlich reduziert.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...