Variante der Erpressersoftware Locky nutzt Lücken im Windows-Kernel
Damit steht den Hintermänner eine Alternative zur Verbreitung über die zunächst genutzten, inzwischen aber geschlossenen Sicherheitslücken in Adobe Flash zur Verfügung. Die neue Variante ahmt beim Herunterladen und Installieren Windows-System-Prozesse nach und trickst Trend Micro zufolge so auch Sandbox-Technologien aus.
Trend Micro hat auf eine neue Variante der Ransomware Locky hingewiesen, die zur Verbreitung nicht mehr auf die von Adobe bereits geschlossenen Lücken im Flash Player angewiesen ist, sondern sich auch Schwachstellen im Windows-Kernel zunutze macht.
Bei der neuen Locky-Variante werde bei den Routinen, die zum Download und zur Installation der Schadsoftware verwendet werden, Windows-System-Prozesse nachgeahmt. Außerdem würden keine Dateien erzeugen und Prozesse nur zur Laufzeit ausgeführt. Dadurch hätten es nicht nur Sicherheitsprogramme schwer, die auf die traditionellen Verhaltensanalyse setzen, sondern auch solche, die bisher als “modern” angesehenen Abwehrmechanismen wie Sandbox-Technologien nutzen, erklärt Trend Micro.
Die von Trend Micro untersuchte Locky-Variante nutzt im Adobe Flash Player die Sicherheitslücke CVE-2016-1019 und im Windows-Kernel die Lücke CVE-2015-1701 aus. Die Windows-Schwachstelle erlaubt es der für den Download der Verschlüsselung und Erpresser-Software verantwortlichen Komponente, sich umfassendere Nutzerrechte zu verschaffen. Sie kompromittiert dazu den Windows-System-Prozess “svhost.exe”.
Der sogenannte Downloader (TROJ_LOCKY.DLDRA) stellt zuvor fest, welche Windows-Version auf dem System eingesetzt wird. Handelt es sich um eine ohne die Schwachstelle, wird lediglich eine Verbindung zum Befehls- und Kontrollserver aufgebaut, die eigentliche Malware aber nicht heruntergeladen. Trend Micro nimmt an, dass so Infektionen zu einem späteren Zeitpunkt vorbereitet werden, bei denen dann andere Sicherheitslücken im Windows-Kernel ausgenutzt werden sollen. Hinweise darauf haben die Experten in dem von ihnen untersuchten Schadcode gefunden.
“Die Tarnung dieser neuen Locky-Variante ist tatsächlich ausgeklügelt. Denn die Aktivitäten sehen lange Zeit wie unverdächtige Windows-Prozesse aus, deren Verhalten sich generell nur schwer überwachen lässt. Selbst die Aufnahme einer Verbindung mit dem Internet ist für diese Prozesse nichts Ungewöhnliches, so dass auch der von dieser Bedrohung erzeugte Netzwerkverkehr zunächst einmal normal erscheint”, erklärt Trend-Micro-Sprecher Udo Schneider. Seiner Ansicht nach mache das deutlich, dass auch bei bekannten Bedrohungen wie Crypto-Ransomware inzwischen mehrschichtige Sicherheitsansätze gefordert seien: Neben Cloud-Reputationsdiensten, Verhaltensanalyse und Sandboxing gehöre dazu auch das virtuelle Patchen.
Insbesondere letzteres liegt ihm dabei am Herzen – ist es doch eine Besonderheit des Ansatzes von Trend Micro. Sowohl Adobe als auch Microsoft haben die nun ausgenutzten Sicherheitslücken schon seit einiger Zeit geschlossen. Anwender, die über die aktuellste Version der jeweiligen Software verfügen, sind daher keiner Gefahr ausgesetzt. Gerade in Firmen ist es allerdings oft nicht möglich, Updates und Patches immer sofort Einzuspielen. Ihnen will Trend Micro mit dem virtuellen Patchen einen Ausweg bieten.