Ein Forscher namens hyp3rlinx entdeckte, dass einige der beliebtesten Ransomware-Stämme wie Conti, REvil, LockBit und viele andere einen Fehler aufweisen, der sie anfällig für DLL-Hijacking macht.
Durch Ausnutzen des Fehlers konnte der Forscher verhindern, dass die Ransomware ihr Hauptverkaufsversprechen erfüllt: die Dateiverschlüsselung.
Wie BleepingComputer berichtet, wird DLL-Hijacking normalerweise verwendet, um bösartigen Code in legitime Anwendungen einzuschleusen. Für diese Ransomware-Stämme erstellte der Forscher jedoch einen Proof of Concept und nahm ein Demo-Video auf, das zeigt, wie es gemacht wird.
DLL-Dateien hacken
DLL-Hijacking nutzt die Art und Weise aus, wie Anwendungen Speicher finden und in DLL-Dateien (Dynamic Link Library) laden. Ein Programm, dem ausreichende Überprüfungen fehlen, kann eine DLL von einem Pfad außerhalb seines Verzeichnisses laden, wodurch im Wesentlichen Berechtigungen erhöht und die Ausführung beliebigen Codes ermöglicht werden.
In diesem Fall erstellte der Forscher einen einzigartigen Code und kompilierte ihn in eine DLL mit einem Namen, der der Ransomware bekannt ist. Es ist auch wichtig, bemerkt der Forscher, dass die DLL an einem Ort platziert wird, an dem Ransomware-Betreiber ihre Malware oft platzieren und ausführen, wie beispielsweise an einem Netzwerkstandort mit Schlüsseldaten.
Dies würde die Ransomware bei ihrer Erstellung töten.
Was diese Methode noch tödlicher macht, ist die Tatsache, dass sie nicht als Sicherheitslösung kategorisiert werden kann und als solche nicht auf die gleiche Weise umgangen werden kann, wie Ransomware-Stämme häufig Antiviren- und andere Sicherheitslösungen umgehen.
Die große Frage ist: Wie lange wird diese Minderungsmaßnahme dauern? Ransomware-Betreiber aktualisieren und aktualisieren ihre Produkte häufig, und wenn es sich um einen neu entdeckten Fehler handelt, ist es wahrscheinlich nur eine Frage der Zeit, bis er behoben wird.
Leider sind Ransomware-Betreiber ziemlich schnell und fleißig, und wir können damit rechnen, dass das Loch eher früher als später gestopft wird.
Via: BleepingComputer
