Beheer

Security
Gigabyte

Ransomware misbruikt Gigabyte driver om antivirus uit te schakelen

Kwetsbaarheid in driver moederbord zorgt dat aanvaller onontdekt blijft.

© FME
10 februari 2020

Kwetsbaarheid in driver moederbord zorgt dat aanvaller onontdekt blijft.

Ransomwareaanvallers zetten een nieuwe techniek in die hen in staat stelt om ontdekking door antivirus te omzeilen.

Ze gaan te werk door via een phishingmail of drive-by website toegang te krijgen tot een computer van het slachtoffer, meldt Sophos. Vervolgens wordt een verouderde maar legitieme versie van een Gigabyte-driver geïnstalleerd. Die bevat een zwakheid die al enkele jaren geleden is ontdekt maar waarvan het certificaat nog steeds geldig is.

Vervolgens gebruiken de aanvallers deze kwetsbaarheid om zich toegang te verschaffen tot de kernel van de computer. Zo krijgen ze de mogeljjkheid tijdelijk de WindowsOS driver signature enforcement uit te schakelen. Vervolgens installeren ze de kernel driver RBNL.SYS waarmee ze allerlei antivirusoftware kunnen uitschakelen. Daarna installeren ze de RobbinHood ransomware en versleutelen daarmee alle bestanden die op de computer aanwezig zijn.

PoC gepubliceerd

Zowel Gigabyte als Verisign hebben flinke steken laten vallen die nu de oorzaak zijn dat deze route openligt. Toen de softwarefout halverwege 2018 door onderzoekers van SecureAuth werd ontdekt in de driver heeft Gigabyte lange tijd ontkend dat de producten kwetsbaar waren. Vervolgens hebben de ontdekkers van de fout deze gepubliceerd compleet met een proof-of-concept om de Gigabyte onder druk te zetten met een patch te komen. Dat gebeurde echter niet. Gigabyte besloot gewoon de driver af te schrijven en niet langer te ondersteunen.

Daarnaast heeft Verisign het certificaat van de betreffende driver niet ingetrokken. Als gevolg daarvan kunnen de aanvallers nog altijd de driver installeren omdat het systeem van het slachtoffer deze niet herkent als een verouderde niet meer onderhouden driver. De proof-of-concept van een exploit van de kwestbaarheid in deze driver heeft de aanvallers de weg gewezen naar hun nieuwe taktiek.

Lees meer over
Lees meer over Beheer OP AG Intelligence
1
Reacties
JF CHIVRACQ 10 februari 2020 16:16

Interessant Artikel...!

Een paar Typos: "heeft lange tijd ontkenT..." (Grrr...!) + "Giga[b]yte".

Wat extra Info:
- Win7 + Win8.x + Win10 alle 3 kwetsbaar.
- Nu 'Gigabyte' Moederbord/Driver misbruikt, maar volgens Sophos Analyse kunnen wij ook binnenkort soortgelijke Ransomware/Exploits "verwachten" met Drivers voor 'VirtualBox' + 'Novell' + 'ASUS' Produkten.

'Gigabyte' Moederborden zijn meer voor de "Thuisgebruikers"/"Gamers" en "niet echt" voor "Zakelijke" Gebruikers/Bedrijven (die meestal het doelwit van Ransomware zijn)..., dus misschien weten niet alle "Thuisgebruikers" hun Moederbord te checken...

=> Interessant Artikel:
https://www.nextofwindows.com/4-ways-to-find-out-whats-the-motherboard-…
Artikel/Pagina is van Augustus 2012, maar alle Methoden en alle Links werken (ook voor Win10).

Makkelijkst...! (Alle 6 Methoden getest op Win10.1909_x64_Pro + Lenovo G50-80 Moederbord.)
1- => 'System Information' ('Win+R' + 'msinfo32') => "System Summary" => "System Manufacturer/Model" + "BaseBoard Manufacturer/Product".
2- => Command Prompt (Win+R' + 'cmd'):
wmic csproduct get Name,Vendor,Version

Met "externe" Utilities (allemal Freeware):
3- 'CPU-Z' (Getest met v1.91_x64 (Portable).)
4- 'Speccy' (Getest met v1.32.740_x64 (Portable), niet vermeld in Artikel, is het meeste "powerful" van alle 6, gemaakt door 'Piriform', de Makers van 'CCleaner'. v1.32.740 is waarschijnlijk niet de laatste Versie..., 'Speccy' is ook handig om "niet technische Mensen" op afstand te helpen, of zonder die te openen, om te checken of wat RAM kan worden toegevoegd aan een Laptop bij voorbeeld...)

5- 'System Spec' (Getest met v3.11 (Portable), beetje Buggy (over BIOS/USB/Multiple Displays/Geen Refresh), maar is "OK" over Moederbord.)
6- 'Belarc Advisor' (Getest met v9.0 + 2020.2.6.1 Def-File (moet apart geupdatet worden). Geen Portable Versie, alleen Installer, gedoe met Captcha voor Download, kan "gelukkig" van 'Filehippo' worden gedownload. Ook Buggy, geen Stop/Cancel, Default Browser moet eerst gekilld worden, of '.html' Summary/Result moet handmatig vanuit 'C:\Program Files (x86)\Belarc\BelarcAdvisor\System\tmp' worden geopend (Drag&Drop op een Open Tab in Browser), beetje gedoe...!)

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.