Threat Hunting: der Dienst, der die EDR-Lösung vor BYOVD-Angriffen (Bring Your Own Vulnerable Driver) schützt
BYOVD-Angriffe nehmen zu
Es wird BYOVD genannt, ein Akronym, das für "Bring Your Own Vulnerable Driver" steht, und es ist eine neue Angriffstechnik, die an großer Bekanntheit gewinnt. Im Jahr 2023, einem Jahr, das von einem rasanten Anstieg von Hackerangriffen geprägt war, hat sich BYOVD als eine der fortschrittlichsten Techniken für Ransomware-Angriffe auf Unternehmen erwiesen.
BYOVD: die Angriffstechnik, die die EDR-Lösung deaktiviert
Was genau ist ein BYOVD-Angriff? Bei BYOVD-Angriffen nutzen die Bedrohungsakteure Schwachstellen in legitimen und signierten Drivers aus. Diese Drivers sind von Microsoft autorisiert und in den meisten Fällen völlig vertrauenswürdig, da sie von autoritativen Quellen wie Microsoft selbst, aber auch Dell, Intel und anderen wichtigen Unternehmen der IT-Branche veröffentlicht werden.
Die betreffenden Drivers haben hohe Berechtigungen und Privilegien, da sie normalerweise von den am weitesten verbreiteten Cybersecurity-software verwendet werden. Kriminelle nutzen daher die Schwachstellen dieser Driver, um in ein System einzudringen und willkürlichen Code im Kernel-Modus auszuführen, also auf einer höheren Ebene als die von einem Unternehmen verwendeten Endpunktschutzsoftware.
Daraus folgt, dass ein Cyberkrimineller in der Lage ist, die fortschrittlichsten IT-Sicherheitslösungen zu umgehen, dank der hohen Privilegien, die durch den verwundbaren Drivers gewährt werden. Zum Beispiel kann ein Bedrohungsakteur leicht eine EDR-Lösung deaktivieren, um deren Sichtbarkeits- und Präventionsfähigkeit zu neutralisieren; dieser Kompromiss lässt Raum für gezielte Angriffe auf das Netzwerk.
Die Blockliste von Microsoft, ein wichtiges Präventionswerkzeug
Die Blockliste von Microsoft, ein wichtiges Präventionswerkzeug
Warum greifen Kriminelle auf die BYOVD-Technik zurück? Zunächst einmal, weil das Laden von Drivers in den Kernel ein Code-Signaturzertifikat erfordert. Diese Anforderung macht es äußerst schwierig, einen bösartigen Treiber von einem Bedrohungsakteur zu erstellen und im Kernel zu laden, da die neuesten Versionen von Windows keine unsignierten Treiber akzeptieren.
Aus diesem Grund konzentrieren sich die Bedrohungsakteure auf Produkte von Drittanbietern, die Kernel-Modus-Driver enthalten. Viele der im Umlauf befindlichen Software enthalten tatsächlich autorisierte und als vertrauenswürdig angesehene Treiber, aber mit Schwachstellen, die nicht durch eine CVE-Nummer identifiziert werden. Diese Schwachstellen stellen einen optimalen Einstiegspunkt für die Ausführung von Code auf Kernel-Ebene dar.
Um einige der möglichen Probleme zu lösen, hat Microsoft im Jahr 2021 eine Blockliste eingeführt, die eine Liste von verwundbaren Drivers enthält. Dank dieser Blockliste ist es möglich, das eigene System so zu aktualisieren, dass verwundbare Treiber nicht im Kernel-Speicher geladen werden, wodurch das Risiko verringert wird, dass Cyberkriminelle durch die BYOVD-Technik in ein System eindringen.
Die Blockliste von Microsoft ist nicht aktuell? Threat Hunting greift ein
Obwohl die von Microsoft bereitgestellte Driversliste mit jeder neuen Hauptversion von Windows aktualisiert wird, normalerweise ein- oder zweimal pro Jahr, ist es möglich, dass ein Angriff mit einem in der Blockliste nicht aufgeführten verwundbaren Treiber durchgeführt wird, der daher noch nicht als möglicher Schwachpunkt identifiziert wurde.
Ein noch nicht in der Microsoft-Liste enthaltener Driver könnte daher einer Endpoint Protection-Software entgehen. Infolgedessen hätte der Bedrohungsakteur, der die Schwachstelle ausgenutzt hat, freie Bahn, um die EDR-Lösung zu deaktivieren und einen vollständigen Angriff durchzuführen. In solchen Fällen ist es entscheidend, eine mögliche Risikosituation zu erkennen, bevor es zu einem Verstoß kommt, dank der präventiven Suche nach möglichen Bedrohungen.
Diese Aufgabe kann von den Threat Hunting-Spezialisten eines SOC (Security Operations Center), einem Team von Cybersicherheitsexperten, die sich auf die proaktive Bedrohungssuche spezialisiert haben, durchgeführt werden. Diese Spezialisten verfügen über alle notwendigen Fähigkeiten, um zu interpretieren, was auf Endpoint-Ebene und an anderen kritischen Punkten im Netzwerk geschieht, und um ad-hoc-Regeln anzuwenden, um einen Angriff zu verhindern, der verwundbare Driver ausnutzt.
Threat Hunting: Was es ist und wie es funktioniert
Die ständige Arbeit eines Security Operations Centers ermöglicht es einem Unternehmen, immer auf dem neuesten Stand über die neuesten Bedrohungen aus der Welt der Informationstechnologie zu bleiben. Dies wird durch intensive Threat Hunting-Aktivitäten ermöglicht.
Threat Hunting ist eine Tätigkeit, die von den Experten des SOC durchgeführt wird, die täglich arbeiten, um die neuesten bekannten Bedrohungen zu identifizieren und die Erkennungsplattformen mit neuen Informationen über Bedrohungsakteure und mögliche verwundbare Driver zu bereichern.
Zu den Hauptaktivitäten der Threat Hunter gehören:
- proaktive Analyse: kontinuierliches Monitoring der Systeme auf der Suche nach anomalen Signalen und Korrelation von Ereignissen, um Muster zu identifizieren, die auf einen möglichen BYOVD-Angriff hindeuten;
- Nutzung von Intelligence: Einsatz von Informationen über bekannte Treiberschwachstellen, wie die Blockliste von Microsoft, und anderen Informationen aus verschiedenen Intelligence-Feeds über Bedrohungen und Bedrohungsakteure;
- Analyse von IoC: Identifizierung von Indikatoren für einen Kompromiss, die mit BYOVD-Angriffen in Zusammenhang stehen, wie die Nutzung von Software auf böswillige Weise oder anomale Netzwerkaktivitäten, die ihren Ursprung in Drivers haben;
- Anwendung von Regeln: Festlegung spezifischer Regeln, die in der Lage sind, die Aktivität bestimmter Software zu blockieren oder Malware zu erkennen, die verwundbare Driver ausnutzt;
- kontinuierliches Update: ständige Suche nach Informationen über die neuesten Cyber-Bedrohungen und über neue Techniken, die von Cyberkriminellen verwendet werden.
Wie Threat Hunting BYOVD-Angriffen entgegenwirken kann
Dank der Erfahrung, die in den täglichen Sicherheitsaktivitäten gesammelt wurde, interpretieren die Analysten des SOC, die sich mit Threat Hunting befassen, die gesammelten Informationen und wenden spezifische Regeln an, die in der Lage sind, Malware zu erkennen, die verwundbare Treiber ausgenutzt hat, sowie Software zu blockieren, die „besonders“, aber anscheinend harmlos ist, jedoch böswillig von Bedrohungsakteuren verwendet wird.
Die Threat Hunting-Spezialisten eines Security Operations Center wenden einen menschlichen Touch auf statische Informationen wie XDR-Alerts und Intelligence-Daten an. Ohne das geschulte Auge eines Analysten könnte eine Cybersicherheitslösung mit automatisierten Prozessen nicht ausreichen, um die fortschrittlichsten Bedrohungen zu erkennen.
Die von Microsoft bereitgestellte Liste anfälliger Drivers ist wertvoll, aber nur in den Händen von jemandem, der weiß, wie man sie konkret nutzt. Nur die Threat Hunting Spezialisten eines SOC verfügen über die erforderlichen Fähigkeiten, um die Blockliste zu interpretieren und zu aktivieren, um Angriffe, die anfällige Treiber ausnutzen, zu verhindern.
Warum man sich auf ein SOC verlassen sollte, das einen Threat Hunting Service bietet
In diesem Artikel haben wir erläutert, wie ein anfälliger Driver es einem Bedrohungsakteur ermöglichen kann, Kernel-Level-Berechtigungen auf einem Endpunkt zu erhalten. Diese Art von Eindringen, bekannt als BYOVD, ermöglicht es einem Kriminellen, eine fortschrittliche Sicherheitslösung wie EDR zu deaktivieren und dann einen Angriff durchzuführen.
Angesichts dieses Risikos können wir behaupten, dass es entscheidend ist, sich auf einen IT-Partner zu verlassen, der nicht nur in der Lage ist, eine fortschrittliche Sicherheitslösung bereitzustellen, sondern auch diese ständig zu überwachen, unterstützt durch ein rund um die Uhr aktives Security Operations Center. Dank der Threat Hunting Aktivitäten kann das SOC darüber hinaus einen proaktiven Service zur Verbesserung der Sicherheitslösung bieten.