Malware umgeht Virenschutzprogramme mit BYOVD
Cybersecurity-Experten haben eine neue raffinierte Angriffsmethode aufgedeckt, die auf der sogenannten "Bring Your Own Vulnerable Driver" (BYOVD)-Technik basiert. Bei dieser Methode nutzen Angreifer gezielt Schwachstellen in legitimen, jedoch anfälligen Avast-Treibern aus.
Im Rahmen einer neuen Angriffstechnik laden die Akteure kompromittierte BYOVD-Treiber auf das Zielsystem, um damit Sicherheitsmechanismen wie Antivirenprogramme, Firewalls oder Endpoint-Protection-Tools zu deaktivieren. Dadurch können sie tiefen Zugriff auf das infizierte System erlangen und ihre Kontrolle ungestört ausbauen.
Die neu entdeckte Malware verfolgt einen besonders raffinierten Ansatz: Sie nutzt den legitimen Avast Anti-Rootkit-Treiber (aswArPot.sys) und manipuliert ihn, um eigene schädliche Aktionen durchzuführen. Laut einer neuen Analyse des Trellix-Sicherheitsforschers Trishaan Kalra macht sich die Malware den tiefen Systemzugriff des Treibers zunutze. Dadurch kann sie Sicherheitsprozesse beenden, Schutzsoftware deaktivieren und die Kontrolle über das infizierte System übernehmen.
Durch diese privilegierten Zugriffsrechte ist die Malware in der Lage, bis zu 142 Prozesse zu beenden. Darunter befinden sich auch Prozesse von Sicherheitsprogrammen, die sonst Warnungen auslösen könnten. Dies geschieht, indem die Malware Momentaufnahmen der aktuell laufenden Prozesse auf dem System erstellt und deren Namen mit einer fest einprogrammierten Liste von Prozessen abgleicht, die beendet werden sollen.
„Da Treiber im Kernelmodus Prozesse im Benutzermodus außer Kraft setzen können, kann der Avast-Treiber Manipulationsschutzmechanismen der meisten Antiviren- und EDR-Lösungen umgehen“, erklärt Kalra.
Wie die Malware ursprünglich auf die Systeme gelangt, ist derzeit nicht bekannt. Ebenso unklar ist, wie weitverbreitet diese Angriffe sind und welche Ziele die Angreifer im Visier haben.
Fest steht jedoch, dass BYOVD-Angriffe in den letzten Jahren zunehmend genutzt werden, um Ransomware und andere Schadsoftware zu verbreiten. Dabei setzen Angreifer auf signierte, aber fehlerhafte Treiber, um Sicherheitskontrollen zu umgehen. Bereits im Mai enthüllte Elastic Security Labs eine ähnliche Kampagne mit der GHOSTENGINE-Malware, die ebenfalls den Avast-Treiber für ihre Angriffe nutzte.
Resümee
Die neue Angriffsmethode macht sich zunutze, dass viele Treiber direkt mit privilegierten Rechten arbeiten, was Angreifern eine perfekte Tarnung bietet. Besonders besorgniserregend ist, dass solche Techniken in der Vergangenheit bereits erfolgreich von APT-Gruppen (Advanced Persistent Threats) und kriminellen Organisationen eingesetzt wurden. Die Entdeckung verdeutlicht erneut, wie wichtig es ist, nicht nur Software, sondern auch Treiber kontinuierlich zu aktualisieren und zu überwachen.