Neues Hacking-Tool AuKill mit großem Schadenspotenzial

Sicherheitsforscher beobachten seit Anfang 2023 den Einsatz eines neuen Hacking-Tools mit dem Namen AuKill. Die Angreifenden legen dabei eine veraltete Version eines zugelassenen Treibers auf dem System des Opfers ab. Der Treiber ist zwar mit einem gültigen Zertifikat signiert, weist aufgrund seines Alters jedoch Schwachstellen auf. Dadurch kann der Treiber EDR-Software (Endpoint Detection & Response) auf den Zielsystemen deaktivieren. Danach können die Angreifenden Backdoors und Ransomware einspielen.

Bislang wurden mehrere AuKill-Versionen beobachtet, von denen einige bei mindestens drei separaten Vorfällen eingesetzt wurden. Diese haben seit Anfang 2023 zu Infektionen mit der Ransomware Medusa Locker bzw. LockBit geführt.

Verschiedene Cyberakteure setzen diese neue Technik bereits ein, von staatlich unterstützten Hackergruppen bis hin zu finanziell motivierten Ransomware-Gruppen. Dieses Tool birgt ein großes Schadenspotenzial und Risiko. Die nachfolgenden Schutzmaßnahmen sollten daher dringend umgesetzt werden.

Die CSBW empfiehlt dringend folgende Maßnahmen:

• Überprüfen Sie, ob bei dem eingesetzten Endpoint-Security-Produkt ein Manipulationsschutz implementiert und aktiviert ist. Diese Funktion bietet einen starken Schutz gegen diese Art von Angriffen.
• Definieren und trennen Sie klar die Windows-Sicherheitsrollen. Dieser Angriff ist nur möglich, wenn die Angreifenden die von ihnen kontrollierten Rechte ausweiten oder sich Administratorrechte verschaffen können. Die Trennung zwischen Benutzer- und Administratorrechten kann Angreifende daran hindern, Treiber einfach zu laden.
• Halten Sie Ihr System stets auf dem neuesten Stand. Dies gilt für das Betriebssystem gleichermaßen wie für Anwendungen und andere Tools auf den Computern.
• Entfernen Sie ältere Tools, wenn sie nicht mehr benötigt oder verwendet werden.
• Nutzen Sie die zur Verfügung stehenden IoCs.