Categories: SicherheitVirus

Variante der Erpressersoftware Locky nutzt Lücken im Windows-Kernel

Trend Micro hat auf eine neue Variante der Ransomware Locky hingewiesen, die zur Verbreitung nicht mehr auf die von Adobe bereits geschlossenen Lücken im Flash Player angewiesen ist, sondern sich auch Schwachstellen im Windows-Kernel zunutze macht.

Bei der neuen Locky-Variante werde bei den Routinen, die zum Download und zur Installation der Schadsoftware verwendet werden, Windows-System-Prozesse nachgeahmt. Außerdem würden keine Dateien erzeugen und Prozesse nur zur Laufzeit ausgeführt. Dadurch hätten es nicht nur Sicherheitsprogramme schwer, die auf die traditionellen Verhaltensanalyse setzen, sondern auch solche, die bisher als “modern” angesehenen Abwehrmechanismen wie Sandbox-Technologien nutzen, erklärt Trend Micro.

Die von Trend Micro untersuchte Locky-Variante nutzt im Adobe Flash Player die Sicherheitslücke CVE-2016-1019 und im Windows-Kernel die Lücke CVE-2015-1701 aus. Die Windows-Schwachstelle erlaubt es der für den Download der Verschlüsselung und Erpresser-Software verantwortlichen Komponente, sich umfassendere Nutzerrechte zu verschaffen. Sie kompromittiert dazu den Windows-System-Prozess “svhost.exe”.

Der sogenannte Downloader (TROJ_LOCKY.DLDRA) stellt zuvor fest, welche Windows-Version auf dem System eingesetzt wird. Handelt es sich um eine ohne die Schwachstelle, wird lediglich eine Verbindung zum Befehls- und Kontrollserver aufgebaut, die eigentliche Malware aber nicht heruntergeladen. Trend Micro nimmt an, dass so Infektionen zu einem späteren Zeitpunkt vorbereitet werden, bei denen dann andere Sicherheitslücken im Windows-Kernel ausgenutzt werden sollen. Hinweise darauf haben die Experten in dem von ihnen untersuchten Schadcode gefunden.

“Die Tarnung dieser neuen Locky-Variante ist tatsächlich ausgeklügelt. Denn die Aktivitäten sehen lange Zeit wie unverdächtige Windows-Prozesse aus, deren Verhalten sich generell nur schwer überwachen lässt. Selbst die Aufnahme einer Verbindung mit dem Internet ist für diese Prozesse nichts Ungewöhnliches, so dass auch der von dieser Bedrohung erzeugte Netzwerkverkehr zunächst einmal normal erscheint”, erklärt Trend-Micro-Sprecher Udo Schneider. Seiner Ansicht nach mache das deutlich, dass auch bei bekannten Bedrohungen wie Crypto-Ransomware inzwischen mehrschichtige Sicherheitsansätze gefordert seien: Neben Cloud-Reputationsdiensten, Verhaltensanalyse und Sandboxing gehöre dazu auch das virtuelle Patchen.

Insbesondere letzteres liegt ihm dabei am Herzen – ist es doch eine Besonderheit des Ansatzes von Trend Micro. Sowohl Adobe als auch Microsoft haben die nun ausgenutzten Sicherheitslücken schon seit einiger Zeit geschlossen. Anwender, die über die aktuellste Version der jeweiligen Software verfügen, sind daher keiner Gefahr ausgesetzt. Gerade in Firmen ist es allerdings oft nicht möglich, Updates und Patches immer sofort Einzuspielen. Ihnen will Trend Micro mit dem virtuellen Patchen einen Ausweg bieten.

Loading ...
Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

2 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

3 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

20 Stunden ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

20 Stunden ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

22 Stunden ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago