BYOVD-Angriffsrisiken: Microsoft Defender umgehen und Ransomware installieren – Wichtige Schutztipps

BYOVD-Angriffsrisiken: Microsoft Defender umgehen und Ransomware installieren – Wichtige Schutztipps

Das Auftreten von BYOVD-Angriffen (Bring Your Own Vulnerable Driver) weist auf eine beunruhigende Schwachstelle in legitimen, signierten Treibern hin. Diese Form der Ausnutzung ermöglicht es Cyberkriminellen, Code auf Kernel-Ebene auszuführen, die Erkennung durch Microsoft Defender zu umgehen und anschließend Ransomware zu verbreiten. Um Ihr System zu schützen, ist es unerlässlich, die in diesem Leitfaden beschriebenen Schutzmaßnahmen zu implementieren.

Den BYOVD-Angriff und seine Auswirkungen auf Microsoft Defender verstehen

Der BYOVD-Angriff nutzt in erster Linie den Treiber rwdrv.sys, der zwar typischerweise mit legitimen Anwendungen wie Throttlestop oder verschiedener Lüftersteuerungssoftware in Verbindung gebracht wird, aber manipuliert werden kann, um unbefugten Zugriff auf den Kernel zu erhalten. Hier ist eine Aufschlüsselung des Angriffsvorgangs:

  • Die Angreifer infiltrieren den Ziel-PC, häufig durch Netzwerkkompromittierungen oder durch den Einsatz von Remote Access Trojans (RATs).
  • Sobald der Zugriff gesichert ist, installieren sie den vertrauenswürdigen Treiber rwdrv.sys.
  • Dieser Treiber wird ausgenutzt, um erhöhte Berechtigungen zu erlangen, wodurch die Installation des schädlichen Treibers hlpdrv.sys ermöglicht wird.
  • Der Treiber hlpdrv.sys ändert dann die Einstellungen der Windows-Registrierung und deaktiviert so effektiv die Schutzfunktionen von Microsoft Defender.
  • Wenn diese Abwehrmaßnahmen umgangen werden, können Angreifer ungehindert Ransomware installieren oder andere bösartige Aktivitäten durchführen.

Aktuell wird die Akira-Ransomware mit diesen Angriffen in Verbindung gebracht. Da Microsoft Defender jedoch wirkungslos ist, könnten Angreifer eine Vielzahl bösartiger Aktionen ausführen. Es ist wichtig, wachsam zu bleiben und die folgenden Präventivmaßnahmen einzuhalten.

Verbessern der Windows-Sicherheitsfunktionen

Windows bietet Sicherheitsfunktionen, die solche Angriffe abwehren können, selbst wenn Microsoft Defender kompromittiert ist. Um Ihre Abwehr zu stärken, suchen Sie im Startmenü nach „Windows-Sicherheit“ und aktivieren Sie die folgenden Sicherheitsoptionen, die standardmäßig deaktiviert sein können:

  • Kontrollierter Ordnerzugriff: Diese Funktion schützt vor Ransomware-Bedrohungen, auch wenn Defender offline ist. Navigieren Sie zu Viren- und BedrohungsschutzEinstellungen verwaltenKontrollierten Ordnerzugriff verwalten und aktivieren Sie die Option. Sie können auch bestimmte Ordner festlegen, um zusätzlichen Schutz vor Ransomware-Angriffen zu bieten.
Aktivieren des kontrollierten Ordners in Windows 11
  • Kernisolationsfunktionen: Durch die Aktivierung dieser Funktionen können Sie die Installation anfälliger Treiber verhindern und die Ausführung von Schadcode blockieren. Die Aktivierung dieser Einstellungen erhöht die Sicherheit Ihres Systems erheblich und kann BYOVD-Angriffe stoppen, bevor sie eindringen können. Gehen Sie zu Gerätesicherheit und rufen Sie die Details zur Kernisolation auf. Es empfiehlt sich, hier alle Funktionen zu aktivieren. Beachten Sie jedoch, dass die Aktivierung der Speicherintegrität möglicherweise zusätzliche Treiberanpassungen erfordert.
Core Isolation-Einstellungen in Windows 11

Entfernen unnötiger Dienstprogramme auf Kernelebene

Vorsicht ist geboten bei der Verwendung von Dienstprogrammen, die auf Kernel-Ebene arbeiten, da viele den Treiber rwdrv.sys verwenden. Ist dieser Treiber bereits auf einem System vorhanden, vereinfacht dies die Arbeit der Angreifer, da sie keine zusätzliche Kopie installieren müssen. Diese bereits installierten Treiber wurden bei jüngsten Angriffen ausgenutzt. Wenn Sie diese Dienstprogramme nicht benötigen, sollten Sie deren Verwendung einstellen, insbesondere solche wie Throttlestop oder RWEverything, die rwdrv.sys installieren.

Um zu überprüfen, ob rwdrv.sys installiert ist, geben Sie „cmd“ in die Windows-Suche ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und wählen Sie „Als Administrator ausführen“. Führen Sie den Befehl aus, um einen Scan durchzuführen. Sollte die Ausgabe das Vorhandensein von rwdrv.syswhere /r C:\ rwdrv.sys anzeigen, identifizieren und deinstallieren Sie die Anwendung, die für die Installation verantwortlich ist.

Suchen von rwdrv mithilfe der Eingabeaufforderung

Standardbenutzerkonten für den täglichen Betrieb verwenden

Für optimalen Schutz vor Bedrohungen wie BYOVD empfiehlt es sich, für alltägliche Aktivitäten ein Standardkonto anstelle eines Administratorkontos zu verwenden. Diese Strategie ist besonders wichtig, da der Angriff Administratorrechte ausnutzt, um anfällige Treiber zu installieren oder auszunutzen.

Mit einem Standardkonto können Hacker komplexe Systemänderungen nur schwer vornehmen und so den Angriff verhindern. Im Falle eines Einbruchsversuchs werden Sie darüber benachrichtigt. Um ein neues Standardkonto einzurichten, navigieren Sie zu den Windows- Einstellungen, wählen Sie KontenAndere BenutzerKonto hinzufügen und folgen Sie den Anweisungen zum Einrichten eines neuen Kontos mit Standardberechtigungen.

Erstellen eines neuen Kontos in Windows 11

Alternative Antivirus-Lösungen erkunden

Dieser spezielle Angriff zielt darauf ab, den Schutz von Microsoft Defender zu deaktivieren. Gegen Antivirenlösungen von Drittanbietern ist er jedoch weniger effektiv. Diese Anwendungen nutzen unterschiedliche Methoden zur Verwaltung ihrer Schutzfunktionen, was es für Angriffe wie BYOVD schwierig macht, einheitlich erfolgreich zu sein.

Um Ihre Sicherheit zu erhöhen, sollten Sie die Installation eines seriösen kostenlosen Antivirenprogramms mit Echtzeit-Scanfunktionen in Erwägung ziehen, beispielsweise Avast oder AVG Antivirus.

Sicherheitsforscher von Organisationen wie GuidePoint und Kaspersky haben die Verwendung von rwdrv.sys in BYOVD-bezogenen Angriffen mit der Akira-Ransomware bereits verfolgt und entsprechende Kompromittierungsindikatoren (Indicators of Compromise, IoCs) veröffentlicht. Wir hoffen zwar auf baldige Lösungen von Microsoft zur Behebung dieser Sicherheitslücke, bleiben Sie jedoch proaktiv und aktivieren Sie alle verfügbaren Windows-Sicherheitsfunktionen, insbesondere die erweiterten Funktionen von Microsoft Defender.

Quelle & Bilder

Ähnliche Artikel:

Ultimativer Leitfaden zum besten Circle of Stars-Druiden-Build in Baldur's Gate 3
Geben Sie Ihre Stimme bei der Umfrage zur Beliebtheit von Hundred Line-Charakteren ab

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert