Categories: SicherheitVirus

Variante der Erpressersoftware Locky nutzt Lücken im Windows-Kernel

Trend Micro hat auf eine neue Variante der Ransomware Locky hingewiesen, die zur Verbreitung nicht mehr auf die von Adobe bereits geschlossenen Lücken im Flash Player angewiesen ist, sondern sich auch Schwachstellen im Windows-Kernel zunutze macht.

Bei der neuen Locky-Variante werde bei den Routinen, die zum Download und zur Installation der Schadsoftware verwendet werden, Windows-System-Prozesse nachgeahmt. Außerdem würden keine Dateien erzeugen und Prozesse nur zur Laufzeit ausgeführt. Dadurch hätten es nicht nur Sicherheitsprogramme schwer, die auf die traditionellen Verhaltensanalyse setzen, sondern auch solche, die bisher als “modern” angesehenen Abwehrmechanismen wie Sandbox-Technologien nutzen, erklärt Trend Micro.

Die von Trend Micro untersuchte Locky-Variante nutzt im Adobe Flash Player die Sicherheitslücke CVE-2016-1019 und im Windows-Kernel die Lücke CVE-2015-1701 aus. Die Windows-Schwachstelle erlaubt es der für den Download der Verschlüsselung und Erpresser-Software verantwortlichen Komponente, sich umfassendere Nutzerrechte zu verschaffen. Sie kompromittiert dazu den Windows-System-Prozess “svhost.exe”.

Der sogenannte Downloader (TROJ_LOCKY.DLDRA) stellt zuvor fest, welche Windows-Version auf dem System eingesetzt wird. Handelt es sich um eine ohne die Schwachstelle, wird lediglich eine Verbindung zum Befehls- und Kontrollserver aufgebaut, die eigentliche Malware aber nicht heruntergeladen. Trend Micro nimmt an, dass so Infektionen zu einem späteren Zeitpunkt vorbereitet werden, bei denen dann andere Sicherheitslücken im Windows-Kernel ausgenutzt werden sollen. Hinweise darauf haben die Experten in dem von ihnen untersuchten Schadcode gefunden.

“Die Tarnung dieser neuen Locky-Variante ist tatsächlich ausgeklügelt. Denn die Aktivitäten sehen lange Zeit wie unverdächtige Windows-Prozesse aus, deren Verhalten sich generell nur schwer überwachen lässt. Selbst die Aufnahme einer Verbindung mit dem Internet ist für diese Prozesse nichts Ungewöhnliches, so dass auch der von dieser Bedrohung erzeugte Netzwerkverkehr zunächst einmal normal erscheint”, erklärt Trend-Micro-Sprecher Udo Schneider. Seiner Ansicht nach mache das deutlich, dass auch bei bekannten Bedrohungen wie Crypto-Ransomware inzwischen mehrschichtige Sicherheitsansätze gefordert seien: Neben Cloud-Reputationsdiensten, Verhaltensanalyse und Sandboxing gehöre dazu auch das virtuelle Patchen.

Insbesondere letzteres liegt ihm dabei am Herzen – ist es doch eine Besonderheit des Ansatzes von Trend Micro. Sowohl Adobe als auch Microsoft haben die nun ausgenutzten Sicherheitslücken schon seit einiger Zeit geschlossen. Anwender, die über die aktuellste Version der jeweiligen Software verfügen, sind daher keiner Gefahr ausgesetzt. Gerade in Firmen ist es allerdings oft nicht möglich, Updates und Patches immer sofort Einzuspielen. Ihnen will Trend Micro mit dem virtuellen Patchen einen Ausweg bieten.

Loading ...
Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

Recent Posts

Bericht: Nvidia gibt Übernahme von ARM auf

Angeblich trifft der US-Chiphersteller erste Vorbereitungen für die Rücknahme seines Kaufangebots. Auslöser sind die geringen…

9 Stunden ago

Topics: Google stellt neuen Cookie-Nachfolger vor

Er löst den gescheiterten Vorschlag FLoC ab. Google verspricht mit Topics mehr Transparenz und Einflussnahme…

10 Stunden ago

Microsoft steigert Umsatz und Gewinn im zweiten Fiskalquartal

Die Cloud-Sparte ist erneut ein wichtiger Wachstumsmotor. Aber selbst das Geschäft mit Windows-OEM-Lizenzen erzielt ein…

11 Stunden ago

Aktives Scannen: den Hackern einen Schritt voraus

In der vernetzten Produktion wachsen IT und OT zusammen. Damit steigt das Sicherheitsrisiko deutlich bis…

1 Tag ago

Covid-19-Impfkampagne: Digitale Koordination von Impfterminen

Kassenärztliche Vereinigung Schleswig-Holstein setzt auf Online-Portal mit Oracle-Technologie.

1 Tag ago

Allianz Risk Barometer 2022: Cyberangriffe weltweites Top-Risiko für Unternehmen

Elfte Umfrage der Allianz: Cyber, Betriebsunterbrechung und Naturkatastrophen sind weltweit die drei größten Geschäftsrisiken in…

2 Tagen ago