Mit diesem Trick kann Malware die Ransomware-Abwehr in Antiviren-Lösungen umgehen

Cyber Security News

Forscher haben erhebliche Sicherheitslücken in beliebten Software-Anwendungen aufgedeckt, die missbraucht werden könnten, um deren Schutz zu deaktivieren und die Kontrolle über Anwendungen zu übernehmen, die auf der Erlaubnisliste stehen, um im Namen der Malware ruchlose Operationen durchzuführen und so die Anti-Ransomware-Abwehr zu überwinden.

Die Zwillingsangriffe, die von Wissenschaftlern der Universität Luxemburg und der University of London detailliert beschrieben wurden, zielen darauf ab, die Funktion für geschützte Ordner zu umgehen, die von Antivirenprogrammen angeboten wird, um Dateien zu verschlüsseln (auch bekannt als “Cut-and-Mouse”), und deren Echtzeitschutz zu deaktivieren, indem Maus-“Klick”-Ereignisse simuliert werden (auch bekannt als “Ghost Control”).

“Anbieter von Antivirensoftware bieten immer ein hohes Maß an Sicherheit, und sie sind ein wesentliches Element im täglichen Kampf gegen Kriminelle”, sagte Prof. Gabriele Lenzini, leitender Wissenschaftler am Interdisziplinären Zentrum für Sicherheit, Zuverlässigkeit und Vertrauen an der Universität von Luxemburg. “Aber sie konkurrieren mit Kriminellen, die inzwischen über immer mehr Ressourcen, Macht und Einsatzbereitschaft verfügen.”

[Blocked Image: https://thehackernews.com/images/-J2_tCNGDMKA/YHc_zdc4MhI/AAAAAAAA3wo/gfFnHKGV_gcrTkZ3sOMoDg5N-wg_cKOGQCLcBGAsYHQ/s300-e100/thn-300-4.png]

Anders ausgedrückt: Unzulänglichkeiten in der Software zur Malware-Abwehr könnten nicht nur zulassen, dass unautorisierter Code ihre Schutzfunktionen ausschaltet. Designfehler in der Lösung “Geschützte Ordner”, die von Antiviren-Herstellern bereitgestellt wird, könnten z. B. von Ransomware missbraucht werden, um den Inhalt von Dateien mithilfe eines bereitgestellten Schreibzugriffs auf den Ordner zu ändern und Benutzerdaten zu verschlüsseln, oder von einer Wipeware, um persönliche Dateien der Opfer unwiderruflich zu zerstören.

Mit geschützten Ordnern können Benutzer Ordner angeben, die eine zusätzliche Schutzebene gegen destruktive Software benötigen, wodurch potenziell jeder unsichere Zugriff auf die geschützten Ordner blockiert wird.

“Eine kleine Gruppe von Anwendungen auf der Whitelist erhält die Berechtigung, in geschützte Ordner zu schreiben”, so die Forscher. “Die Anwendungen auf der Whitelist selbst sind jedoch nicht davor geschützt, von anderen Anwendungen missbraucht zu werden. Dieses Vertrauen ist daher ungerechtfertigt, da eine Malware Operationen auf geschützten Ordnern durchführen kann, indem sie Whitelist-Anwendungen als Vermittler nutzt.”

[Blocked Image: https://thehackernews.com/images/-vk-EU8NpZw0/YLYnhfQsRJI/AAAAAAAACtA/weVr26erPWg9D8CXBr3aDGR-GjzJ7L8ZgCLcBGAsYHQ/s728-e1000/antivirus-1.jpg]

Ein von den Forschern ausgearbeitetes Angriffsszenario zeigte, dass Schadcode verwendet werden könnte, um eine vertrauenswürdige Anwendung wie Notepad zu steuern, um Schreiboperationen durchzuführen und die in den geschützten Ordnern gespeicherten Dateien des Opfers zu verschlüsseln. Zu diesem Zweck liest die Ransomware die Dateien in den Ordnern, verschlüsselt sie im Speicher und kopiert sie in die Systemzwischenablage, woraufhin die Ransomware Notepad startet, um die Ordnerinhalte mit den Daten aus der Zwischenablage zu überschreiben.

Schlimmer noch: Durch die Ausnutzung von Paint als vertrauenswürdige Anwendung fanden die Forscher heraus, dass die oben beschriebene Angriffssequenz dazu verwendet werden kann, die Dateien des Benutzers mit einem zufällig generierten Bild zu überschreiben, um sie dauerhaft zu zerstören.

Der Ghost Control-Angriff hingegen könnte selbst schwerwiegende Folgen haben, da das Ausschalten des Echtzeit-Malware-Schutzes durch die Simulation legitimer Benutzeraktionen, die auf der Benutzeroberfläche einer Antivirenlösung ausgeführt werden, es einem Angreifer ermöglichen könnte, jedes beliebige Rogue-Programm von einem Remote-Server unter seiner Kontrolle abzulegen und auszuführen.

Von den 29 Antiviren-Lösungen, die im Rahmen der Studie evaluiert wurden, erwiesen sich 14 als anfällig für den Ghost Control-Angriff, während alle 29 getesteten Antiviren-Programme für den Cut-and-Mouse-Angriff anfällig waren. Die Forscher nannten keine Namen der betroffenen Hersteller.

[Blocked Image: https://thehackernews.com/images/-yHhbayzGJ-g/YLYnwZw3JpI/AAAAAAAACtE/gM0h496AkzYjr4NjuhXUZ2vp8QyStptkgCLcBGAsYHQ/s728-e1000/cat-mouse.jpg]

Die Ergebnisse zeigen, dass selbst Sicherheitslösungen, die explizit für den Schutz digitaler Daten vor Malware-Angriffen entwickelt wurden, selbst Schwachstellen aufweisen können und damit ihren eigentlichen Zweck verfehlen. Selbst wenn die Anbieter von Antivirensoftware ihre Schutzmaßnahmen weiter verbessern, haben Malware-Autoren solche Barrieren durch Umgehungs- und Verschleierungstaktiken umgangen, ganz zu schweigen von der Umgehung ihrer Verhaltenserkennung durch gegnerische Eingaben mittels Poisoning-Angriffen.

“Sichere Zusammensetzbarkeit ist ein bekanntes Problem in der Sicherheitstechnik”, so die Forscher. “Komponenten, die isoliert betrachtet eine gewisse bekannte Angriffsfläche bieten, erzeugen bei der Integration in ein System eine größere Oberfläche. Komponenten, die untereinander und mit anderen Teilen des Systems interagieren, schaffen eine Dynamik, mit der auch ein Angreifer interagieren kann, und zwar auf eine Art und Weise, die vom Designer nicht vorhergesehen wurde.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com